Vie privée: la grande leçon d'Apple aux Equifax de ce monde

Publié le 27/09/2017 à 12:00

Vie privée: la grande leçon d'Apple aux Equifax de ce monde

Publié le 27/09/2017 à 12:00

Face ID tel qu'illustré par Apple.

Tim Cook : «La vie privée est un droit fondamental.»

Ce n’est pas une citation particulièrement récente, mais s’il y a une seule phrase à retenir de tout ce qu’aura dit le PDG d’Apple dans sa carrière, ça devrait celle-là. Malheureusement, elle est souvent oubliée, notamment par des institutions dont la fonction principale est pourtant de gérer les données confidentielles de nombreux clients.

La semaine dernière, on apprenait qu’un formulaire mal paramétré du site web de la Banque Nationale pourrait avoir divulgué les données confidentielles de 400 clients à d’autres internautes.

Le formulaire en question sert à prendre rendez-vous auprès d’une succursale de l’institution. On n’y trouve aucune information bancaire (numéro de compte, adresse, numéro d’assurance sociale), ce qui rend la faille moins grave que si c’était, par exemple, une application pour carte de crédit.

En termes d’impact sur les clients et sur l'économie en général, les effets potentiels de cette fuite sont évidemment beaucoup moins dommageables que ce qui s’est produit du côté d’Equifax, deux semaines plus tôt (on parle de 143 millions de comptes affectés, dont 100000 associés à des clients canadiens). La réaction a été différente, aussi : Equifax a eu l’audace (et la négligence) d’essayer de maquiller tout ça, prenant bien son temps avant d’en divulguer publiquement les détails.

Là où ça se recoupe, c’est qu’il y a manifestement eu négligence, dans les deux cas. La Banque Nationale s’excuse en expliquant que c’est une erreur de nature humaine qui a provoqué la fuite. Equifax a su pendant longtemps qu’il y avait eu fuite avant d’en parler publiquement.



Suivre l’exemple d’Apple

En 2017, toute institution financière qui se respecte devrait pourtant avoir appris qu’il est essentiel, sinon pour la sécurité de ses opérations, du moins pour son image, de protéger à double tour toutes ses données et ses formulaires numériques, aussi banals soient-ils.

C’est comme la voiture autonome et les accidents de la route : l’objectif n’est pas de réduire de 10, 25 ou même 80 % le nombre d’accidents. C’est de les éliminer complètement. Sinon, qui fera confiance à un robot-chauffeur en sachant qu’on pourrait tomber sur le 3, 4 ou 10% des cas où le coup de volant automatisé peut s’avérer fatal?

Pas besoin d’adopter la chaîne de blocs ou le Bitcoin pour autant. Puisque le problème est humain, la solution devrait l’être elle aussi, et devrait venir d’en haut. Les dirigeants devraient adopter la même attitude que Cook, qui semble bien déterminé à passer de la parole aux actes, en matière de vie privée.

Apple lance aujourd’hui une nouvelle campagne d’information sur la sécurité des données et le traitement de la vie privée dans le développement de ses nouveaux produits, comme son fameux iPhone X, sa technologie Face ID, et tout ce qui touche à la mobilité informatique.

Apple réagit ainsi aux quelques nouveautés introduites par Google dans son système Android 8.0, qui encadre lui aussi un peu mieux le comportement des applications mobiles dans son environnement, afin que les utilisateurs soient mieux protégés.

Inspirée de ce qu’affirme Cook en tête de cet article, Apple a adopté une approche en quatre temps face à la vie privée de ses clients :

1- Garder la collecte de données à son strict minimum. Par exemple, pourquoi demander un accès au carnet d’adresses, à la position géographique, au micro et à tout plein de services si tout ce qu’il s’agit de faire, c’est de payer pour son parcomètre?

2- Traiter les données localement, plutôt que de recourir à des serveurs distants. Apple assure que la reconnaissance faciale de son dispositif Face ID, plus fiable que la lecture d’empreinte digitale, se fera entièrement sur l’iPhone X, et non via un serveur distant.

3- Assurer une transparence et exiger le consentement systématique de l’utilisateur. C’est agaçant, de devoir autoriser l’application Météo pour connaître la température extérieure? C’est probablement mieux que de la fournir aveuglément à une quelconque régie publicitaire…

4- Se positionner comme protecteur de la vie privée. Quand une application a besoin de tirer le nom ou le numéro d’un contact enregistré dans le carnet d’adresses de l’utilisateur, elle ne va pas piger directement dans le carnet. Elle demande pour ainsi dire au système, qui peut ainsi limiter l’accès au strict minimum et prévenir les abus. Ça devrait aider à réduire les cas d’envois intempestifs de courriels à tous les contacts d’un seul et même utilisateur…


 Sécuriser et protéger «par défaut»

Une des raisons pour lesquelles les lecteurs biométriques ont connu un tel essor dans la téléphonie mobile est simple : c’est une mesure de protection si simple à utiliser qu’elle a rapidement été adoptée par une majorité de propriétaires d’un appareil possédant un tel lecteur.

Face ID promet de renforcer cette mesure encore un peu plus. Évidemment, on s’attend à ce que ce type d’information soit dûment sécurisé. Mais Apple va plus loin : même dans un cas beaucoup moins sérieux d’utilisation de la reconnaissance du visage, comme la création d’émoticônes animés («animojis»), l’entreprise dit ne collecter aucune information. Tout se passe localement, sur l’iPhone, dans un espace protégé des autres applications.

Évidemment, la question est toujours la même : au début 2016, le FBI courait après Apple pour déverrouiller un iPhone 5C associé à une attaque terroriste ayant eu lieu à San Bernardino, aux États-Unis. Ça a provoqué tout un débat opposant la sécurité à la vie privée. À tort ou à raison, la réaction d’Apple a été de créer des bases de données indépendantes les unes des autres. Conséquence : Siri pouvait avoir l’air moins allumée sur un nouvel iPhone, parce que les données collectées sur un appareil précédent étaient anonymes et non-associées à un compte Apple, ou à l’utilisateur. Apple a changé son approche là-dessus, mais elle assure que les données sont cryptées de telle façon que personne au sein de l’entreprise (encore moins le FBI) ne puisse consulter l’information.

Voilà tout de même des exemples à suivre pour les entreprises gérant des données délicates : tout devrait être sécurisé par défaut. Même les formulaires inoffensifs permettant la prise de rendez-vous (ou l’envoi d’un émoticône). Car on n’est jamais trop prudents avec la vie privée de ses clients. Et ça évitera de se faire comparer à une entreprise au cœur d’une des fuites de données confidentielles les plus graves des dernières années…

Suivez-moi sur Twitter:

Suivez-moi sur Facebook:

À propos de ce blogue

Autrefois, on appelait ça de l'électronique mais de nos jours, les nouvelles technologies vont bien au-delà des transistors et des circuits imprimés. Des transactions bancaires à l'écoute en rafale d'émissions de télé les plus populaires, la technologie est omniprésente. Et elle comporte son lot de questionnements. Journaliste spécialiste des technologies depuis bien avant l'avénement du premier téléphone intelligent, Alain McKenna a observé cette évolution sous tous ses angles et livre ici ses impressions sur le sujet.

Alain McKenna
Sujets liés

Technologie , techno