Fermer le menu
 

vie privée

Toute l'actualité sur vie privée

L'effort de transparence d'Apple compliqué par le gouvernement américain

| 24/09/2014 | 07:00 |  

Le FBI pourrait-il farfouiller comme il le souhaite dans les données des utilisateurs américains de produits Apple ? C'est ce que semble indiquer à première vue un changement dans le dernier rapport sur la transparence publié par la firme de Tim Cook. Une mention spéciale, le « warrant canary », qui assure que le service de renseignement intérieur n'a pas demandé d'informations n'est plus présente. Une omission qui pourrait en fait être liée à un changement de règles.

Pour comprendre toute l'affaire, il faut remonter au premier rapport sur la transparence publié en novembre 2013. Cinq mois après le début des révélations d'Edward Snowden, Apple publie un document détaillant autant que possible les demandes relatives aux données privées de ses utilisateurs qu’elle a reçues de la part des différents gouvernements, dont celui des États-Unis.

Ce rapport est salué par l'Electronic Frontier Foundation, une organisation de défense des droits des internautes, notamment parce qu'il inclut un « warrant canary » concernant la très controversée section 215 du Patriot Act, qui autorise le gouvernement à saisir « toute chose tangible » pouvant avoir un rapport avec une enquête antiterroriste, y compris les données de personnes non soupçonnées de terrorisme, et ce, sans avoir à motiver sa demande.

Le warrant canary, une pratique commune chez les FAI mais inédite pour une entreprise de la taille d’Apple, consiste à déclarer que la société n’a pas reçu d’injonction à produire des documents à date. Il s'agit d'une astuce législative : alors qu’une formulation positive est clairement interdite par le Patriot Act, Apple peut utiliser la forme négative pour faire savoir ce qu'il en est. Si l'entreprise ne met pas à jour cette déclaration dans un rapport, on peut donc en déduire qu’on lui a entre-temps forcé la main et qu’elle a dû communiquer des données.

Or, le dernier rapport ne contient justement pas ce warrant canary. Apple a-t-elle été forcée de transmettre des données au gouvernement américain sous la section 215 ? Pas forcément, analyse Ars Technica.

Entre temps, le Département de la Justice a changé les règles du jeu du warrant canary. Depuis le début de l'année, les sociétés ont deux choix pour informer des demandes gouvernementales. Soit fournir des informations détaillées, mais attendre longtemps avant de pouvoir le faire. Soit le faire rapidement, mais en rassemblant les différents types de dema...

> Lire la suite et accéder aux commentaires

Apple stocke les données de ses utilisateurs chinois en Chine

| 15/08/2014 | 16:15 |  

Après 15 mois de test et d'évaluation, les données personnelles des utilisateurs chinois de services Apple seront désormais stockées sur les serveurs de China Telecom, le troisième opérateur au pays, Le constructeur explique qu'il s'agit d'améliorer la vitesse et la fiabilité de son bouquet de services iCloud en Chine. Évidemment quand on parle de l'Empire du Milieu et tout particulièrement du stockage de données, se pose immanquablement la question de la confidentialité des informations. Pour cette raison, Google refuse d'opérer des centres de données en Chine. « Apple prend la sécurité et la confidentialité très au sérieux », explique le communiqué du constructeur.

Il précise avoir ajouté China Telecom à sa liste de fournisseurs de centres de données « afin d'augmenter la bande passante et d'améliorer les performances [d'iCloud] pour nos clients en Chine. Toutes les données stockées par nos fournisseurs sont chiffrées. China Telecom n'a pas accès à ce contenu ». D'après une source proche du dossier, les clés de chiffrement pour les serveurs de l'opérateur sont stockées à l'extérieur du pays, sans que China Telecom puisse en prendre connaissance.

Plusieurs experts estiment cependant qu'Apple aura le plus grand mal à conserver ces données en dehors des grandes oreilles des autorités du pays. Comme aux États-Unis et ailleurs, le constructeur devra se conformer aux exigences de l'administration, notamment dans le cas d'une requête gouvernementale. Les relations entre Apple et la Chine sont sujettes à de fréquents cahots, le dernier en date concernait la sécurité des services de localisation de l'iPhone — une polémique sur laquelle le constructeur a rapidement posé l'étouffoir.

> Accéder aux commentaires

OnionShare partage les fichiers en toute confidentialité

| 07/07/2014 | 16:36 |  

Ce ne sont pas les services qui manquent quand on veut partager des fichiers avec ses proches. Mais si on veut le faire de manière confidentielle, les Dropbox, Google Drive, OneDrive et compagnie ne sont pas les plus adaptés. Outre des conditions d'utilisation qui ne sont pas toujours claires, il y a l'ombre des révélations d'Edward Snowden qui plane sur ces services américains.

C'est justement après avoir lu Nulle part où se cacher, le livre du journaliste Glenn Greenwald qui a dévoilé publiquement les informations de Snowden, qu'un développeur a créé un logiciel open source pour échanger confidentiellement et facilement des fichiers.

OnionShare fonctionne en pair à pair (P2P) : la connexion entre l'émetteur et le destinataire est directe. Il n'y a pas d'intermédiaire, le fichier partagé est uniquement hébergé sur l'ordinateur de l'émetteur — il n'y a donc pas de limite de taille. Concrètement, OnionShare démarre un serveur web sur la machine hôte, rend ce serveur accessible sur Tor (un réseau décentralisé qui protège la vie privée), et génère une URL qui permet de télécharger le fichier.

Pour pouvoir se servir d'OnionShare, il est nécessaire d'ouvrir au préalable le navigateur Tor. Le reste est extrêmement simple : on lance OnionShare, on choisit le fichier à partager et on transmet l'URL fournie au destinataire. Le développeur Micah Lee conseille d'utiliser une messagerie sécurisée pour communiquer cette adresse (Cryptocat par exemple). Le destinataire n'a pas besoin d'avoir OnionShare pour télécharger le fichier, seul le navigateur Tor est nécessaire.

Si ce petit logiciel permet de partager un fichier de manière plus secrète que sur les services habituels, le réseau Tor n'échappe toutefois pas à la surveillance de la NSA. Les documents confidentiels fournis par Snowden révèlent que l'agence américaine de renseignement a tenté de casser l'anonymat de ce réseau et qu'elle en surveille les serveurs cruciaux. La confidentialité d...

> Lire la suite et accéder aux commentaires

NSA : des députés allemands veulent entendre Tim Cook et ses homologues

| 23/05/2014 | 23:56 |  

À la suite des révélations d'Edward Snowden sur les pratiques de la NSA, l'Allemagne, qui serait l'une des cibles privilégiées du renseignement américain, a mis en place une commission parlementaire chargée d'enquêter sur le sujet.

Les huit députés qui la composent veulent faire témoigner les patrons des plus grands acteurs de l'informatique, qui se trouvent être américains : Tim Cook (Apple), Mark Zuckerberg (Facebook), Eric Schmidt (Google) et Brad Smith (Microsoft).

La commission cherche à savoir dans quelle mesure les services de renseignement américains peuvent intercepter les données des utilisateurs de leurs services. « C'est pour écarter tout soupçon que nous souhaitons les inviter », a déclaré Christian Flisek, député social-démocrate.

Depuis le scandale PRISM, Apple fait un effort de transparence sur les requêtes des autorités judiciaires et policières qu'elle reçoit à propos des données privées de ses utilisateurs. L'entreprise donne plus de détails sur le nombre de demandes, va avertir ses utilisateurs visés par les autorités américaines et vient de publier un guide des procédures judiciaires. Des initiatives qui ont été saluées par l'EFF, un organisme qui défend les droits des internautes.

> Accéder aux commentaires

Apple : un guide pour les procédures judiciaires

| 08/05/2014 | 14:45 |  

Apple renforce sa volonté de transparence concernant les requêtes des autorités judiciaires et policières souhaitant consulter les données privées de ses utilisateurs. Non seulement le constructeur de Cupertino — ainsi que les autres sociétés informatiques concernées — offre désormais de plus amples informations sur le volume de demandes des autorités (927 requêtes relatives à des affaires criminelles entre janvier et juin 2013 pour Apple, par exemple), mais encore il a été confirmé que la Pomme allait informer directement les utilisateurs visés par les procédures à leur encontre (lire : Apple va informer ses utilisateurs visés par les autorités américaines).

Apple est allé un peu plus loin ce mercredi, en mettant en ligne un guide des procédures judiciaires. On apprend dans ce document qu'Apple peut, sur la demande des autorités, extraire un certain nombre d'informations provenant de terminaux iOS verrouillés, parmi lesquelles les messages SMS, les photos, vidéos, contacts, mémos vocaux et historique des appels. En revanche, Apple ne pourra rien pour les courriels, les rendez-vous, les messages FaceTime et iMessage, ainsi que pour tout ce qui touche aux applications tierces. Par ailleurs, ce processus d'extraction des données devra se dérouler à Cupertino même.

Apple s'est également engagé à retourner les iPhone perdus à leurs propriétaires. L'entreprise confirme également qu'elle préviendra les utilisateurs frappés par une requête judiciaire; si la vie d'une personne ou d'un groupe de personnes est en jeu, ou encore dans les cas relatifs à la disparition d'enfants, Apple pourra accepter de lever le secret sur les données d'un utilisateur sans mandat. Ces informations légales sont suivies d'une courte foire aux questions, qui offre notamment des contacts afin d'être tenu au courant des procédures judiciaires.

> Accéder aux commentaires

Privacy Badger, une nouvelle extension pour ne pas être pisté sur le web

| 05/05/2014 | 18:48 |  

Les extensions pour éviter d'être fliqué sur le web par les régies publicitaires ne manquent pas, on peut citer notamment Ghostery et Disconnect. Un nouvel add-on qui vient de sortir, Privacy Badger, a l'avantage d'être open source et créé par l'Electronic Frontier Foundation (EFF), une organisation reconnue qui milite notamment pour le respect de la vie privée en ligne.

En vert, les domaines de tierce partie acceptés. En rouge, ceux qui sont bloqués. On peut modifier les réglages manuellement.

Privacy Badger est une extension pour Firefox et Chrome qui bloque les traqueurs de tierce partie (régies publicitaires, services de statistiques...) qui suivent la navigation d'un internaute de site en site. Elle permet ainsi de naviguer sur le web incognito sans pour autant supprimer la pub — même s'il peut arriver qu'elle bloque certains éléments publicitaires qui sont liés aux outils de suivi.

L'objectif de Privacy Badger est de promouvoir Do Not Track, l'initiative peu suivie de Mozilla qui permet aux internautes d'indiquer aux sites web qu'ils ne souhaitent pas être pistés. Les annonceurs qui respectent Do Not Track ne sont en effet pas bloqués par l'extension.

Privacy Badger est actuellement en version alpha. L'EFF prévoit de la rendre compatible avec Opera et Firefox Mobile prochainement. Safari n'est pas dans les plans actuellement pour des raisons techniques, mais toute aide est la bienvenue pour faire évoluer la situation.

> Accéder aux commentaires

Yahoo ne tient plus compte de Do Not Track

| 02/05/2014 | 14:15 |  

Do Not Track a du plomb dans l'aile. Yahoo a annoncé mercredi 30 avril qu'elle arrêtait de prendre en compte ce réglage de confidentialité.

Do Not Track est une initiative lancée par Mozilla qui permet aux internautes d'indiquer aux sites web qu'ils ne souhaitent pas être pistés. Cette option a été adoptée par tous les principaux navigateurs, même Chrome qui a trainé des pieds, mais les acteurs du web ont tout le loisir de ne pas en tenir compte.

Option Do Not Track dans les préférences de Firefox

C'est justement ce qui arrive avec Yahoo qui, après avoir joué le jeu pendant deux ans, fait marche arrière. Sa désaffection pour Do Not Track n'est pas vraiment une surprise, l'entreprise avait décidé de ne pas s'y plier pour Internet Explorer, Microsoft ayant fait le choix de l'activer par défaut sur son navigateur.

Pour justifier l'abandon total du réglage de confidentialité, Yahoo explique à nouveau qu'elle « travaille dur à proposer une expérience hautement personnalisée à [ses] utilisateurs » et que Do Not Track l'en empêche. La société déclare par ailleurs qu'elle n'a « toujours pas vu un standard unique qui soit efficace, facile d'usage et adopté massivement par l'industrie high-tech ». Or, c'était justement la mission de Do Not Track, une mission qui a visiblement échoué. Facebook et Google, pour ne citer qu'eux, n'ont en effet jamais tenu compte de ce réglage.

Cette annonce intervient alors que le W3C a enfin avancé sur le sujet. L'organisme de normalisation, qui a tergiversé pendant des années, a enfin passé Tracking Preference Expression (Do No Track) au statut « Last Call » la semaine dernière, ce qui signifie que le groupe de travail estime que la spécification est complète et qu'elle peut être examinée par une audience plus large. Ce progrès, qui ne marque toujours pas une standardisation en bonne et due forme, survient alors que la bataille est sûrement déjà perdue.

> Accéder aux commentaires

Apple va informer ses utilisateurs visés par les autorités américaines

| 02/05/2014 | 12:45 |  

À la suite des révélations d'Edward Snowden sur les pratiques de la NSA, Apple et d'autres géants du secteur de l'informatique ont appelé à une réforme de la surveillance et pris des mesures pour faire preuve de plus de transparence afin de regagner la confiance de leurs utilisateurs.

Les entreprises sont ainsi parvenues à un accord au début de l'année avec le gouvernement américain qui leur permet de communiquer des données un peu plus précises sur le nombre de requêtes judiciaires à l'endroit des comptes de certains de ses utilisateurs. Apple indique avoir reçu, sur la période de janvier à juin 2013, entre 0 et 250 lettres de sécurité nationale et 927 requêtes relatives à des affaires criminelles.

Le Washington Post rapporte que les sociétés vont faire un pas de plus en informant directement les utilisateurs visés par des demandes des autorités. « Apple va mettre à jour sa politique de manière à ce que la plupart des clients concernés par une demande d'information personnelle soient notifiés de cette requête », a déclaré un porte-parole de Cupertino.

Ronald T. Hosko, un ancien agent spécial du FBI, estime que cette notification peut compromettre une enquête dans la mesure où la personne qui sait qu'elle est suspectée est susceptible de détruire des preuves. Les entreprises expliquent pour leur part qu'elles ont prévu des exceptions, dans le cas où la victime potentielle court un risque de danger imminent, par exemple.

> Accéder aux commentaires

Microsoft ne fouillera plus le courrier de ses utilisateurs

| 29/03/2014 | 00:06 |  

Promis, juré, craché, Microsoft ne fouillera plus le courrier de ses utilisateurs. Face à la polémique provoquée par l’« affaire Kibkalo », la firme de Redmond va changer les CGU de ses services « dans les prochains mois » pour en retirer la mention qui lui donne le droit d’accéder aux communications des utilisateurs sous couvert de protection de sa propriété industrielle et intellectuelle.

Qu'elle est loin, la campagne « Scroogled » dans laquelle Microsoft assurait qu'elle ne lisait pas le courrier de ses utilisateurs…
Qu'elle est loin, la campagne « Scroogled » dans laquelle Microsoft assurait qu'elle ne lisait pas le courrier de ses utilisateurs…

Mécontent d’un entretien d’évaluation interne, Alex Kibkalo avait décidé de se venger de Microsoft en faisant fuiter des documents confidentiels à un blogueur français - parmi lesquels des préversions de Windows RT et le kit de développement interne à Microsoft. Ce blogueur, propriétaire d’un compte Hotmail, avait non seulement publié des captures d’écran du système, mais aussi mis en place un serveur d’activation dont il revendait des clefs sur eBay.

Microsoft avait alors fouillé le compte Hotmail dudit blogueur pour identifier la taupe — les CGU d’Hotmail lui en donnaient le droit, mais la pratique fait désordre dans le contexte actuel de soupçon de complaisance des éditeurs dans le système de surveillance généralisée des données privées. Kibkalo a depuis avoué le vol et le recel des fichiers et a été arrêté.

C’est d’ailleurs par la justice que Microsoft passera désormais systématiquement en pareil cas. Aucun de ses salariés n’aura désormais le droit de consulter les communications d’un utilisateur, seules les forces de l’ordre, sur mandat d’un juge, pourront le faire. Et la firme de Redmond publiera le nombre de ces recherches dans son rapport semestriel sur la transparence, dans lequel figurent également les demandes d’accès du gouvernement et de la justice.

> Accéder aux commentaires

Google publie sur sa page d'accueil la sanction de la CNIL

| 08/02/2014 | 01:17 |  

La page d'accueil de Google France est un peu moins épurée que d'habitude depuis quelques minutes. L'entreprise américaine affiche de manière clairement visible sous le champ de recherche un communiqué faisant état de sa condamnation par la CNIL à une amende de 150 000 € pour manquements à la loi « informatique et libertés ».

Reconnue coupable début janvier du non respect de la loi « informatique et libertés » avec sa nouvelle politique de confidentialité, Google a été condamnée à payer l'amende maximum que la CNIL peut infliger et à afficher cette sanction pendant 48 heures sur google.fr. L'autorité déplore depuis plus d'un an le manque d'informations « sur la finalité de la collecte et l'utilisation des données personnelles » et sur la durée de leur conservation.

Google avait repoussé l'application de la sanction de quelques jours en saisissant immédiatement le Conseil d'État. Jeudi, lors de l'audience en référé, l'avocat de Google avait argué que la publication du communiqué constituait un « préjudice d'image significatif », car cela équivalait à « une dénaturation de la page, vitrine de la société ».

Le Conseil d'État a rejeté hier ce recours sur la forme. Le juge des référés a estimé que Google « n'apportait aucun élément de nature à établir qu'un préjudice irréparable pourrait résulter de l'atteinte qui, selon elle, serait portée à sa réputation ». Le communiqué est donc maintenant en ligne pendant 48 heures.

> Accéder aux commentaires

Pages