Dites-moi où vous allez et je vous dirais qui vous êtes

Par Frédéric Prost.

Il y a quelques semaines de cela, je faisais la remarque (dont l'idée principale se répand de plus en plus) que la caractéristique principale du web 3.0 tenait principalement en ce que la notion de confidentialité, voire de vie privée, allait tendre à disparaître. Une récente étude menée par des chercheurs du MIT et de l'Université Catholique de Louvain vient confirmer de façon spectaculaire ces remarques. En une phrase : quelques données spatio-temporelles (où vous trouviez-vous et à quelle heure) liées à une personne suffisent à l'identifier. L'étude qui a duré 15 mois et qui a porté sur plus d'un million et demi de personnes montre qu'il suffit de 4 points spatio-temporels pour identifier 95% des personnes.

Autrement dit, sans même connaître ni le nom ni le numéro de téléphone de la personne concernée, simplement en sachant qu'une même personne a été présente dans 4 lieux différents à des moments différents suffit quasiment à pouvoir identifier cette personne. Au mois de novembre l'ex-directeur de la CIA, David Petraeus, avait été contraint à la démission suite à la découverte d'une liaison extra-conjugale. L'identité de son amante avait été établie assez facilement par le FBI en recoupant les listes des personnes présentes dans des hôtels les jours où elle envoyait ces mails (provenant de comptes anonymes mais pour lesquels on pouvait tracer l'adresse IP de l'hôtel à partir duquel le message avait été envoyé). Ce que montre l'étude dont nous parlons est que cette technique – recouper des informations liant un lieu et une date à une même personne – peut se généraliser avec une facilité assez incroyable. En effet, il faut savoir que, selon toute probabilité, vous portez sur vous un téléphone portable qui envoie en permanence des informations sur sa localisation. Il apparaît que même si ces données sont anonymisées (c'est-à-dire si on ne lie pas les informations spatio-temporelles avec les numéros de téléphones ou les personnes) très peu d'informations suffisent à vous identifier. Basiquement c'est parce que vous êtes la seule personne au monde à vous être rendus sur ces différents endroits à ces différents instants. En fait deux endroits sont généralement suffisants (typiquement votre maison et votre lieu de travail).

La première leçon à tirer, et qu'on ne répètera jamais assez, est que dans le monde numérique "tout ce que vous direz pourra être retenu contre vous". La protection offerte par un pseudonyme, un chiffre d'anonymisation, ou toute promesse de confidentialité faite par un acteur du web n'est tout simplement qu'une illusion. Un peu à l'image du théâtre de la sécurité dont nous sommes quotidiennement témoins (typiquement dans les aéroports), ces grandes déclarations sur la confidentialité sont fondamentalement plus liées à un "sentiment" qu'à une quelconque réalité. Le simple fait que les données existent est intrinsèquement contradictoire avec la notion même de confidentialité.

La seconde leçon est que, internet devenant toujours plus pervasif, les gens sont les collaborateurs les plus actifs de leur propre surveillance. Tous les "check in" ou "like" qu'un utilisateur enregistre volontairement sur sa page facebook (son compte instagram ou autre) sont autant d'informations qui seront collectées et ajoutées à leur profil. Qui plus est l'étude montre que fusionner les profils (c'est-à-dire reconnaitre que différentes identités numériques recouvrent en fait une seule et unique personne) est beaucoup plus simple qu'on ne pourrait le croire.

Pour le moment on ne peut pas vraiment dire qu'il y ait une pression populaire pour que les problèmes soient pris en compte. C'est plutôt autour de la rhétorique sécuritaire que le débat se focalise : les nouvelles technologies de l'information sont vues comme un moyen de maîtriser la criminalité. Il ne faut jamais oublier qu'une technologie est neutre et que si elle permet d'augmenter la puissance cela reste vrai que ce soit pour de bonnes ou de mauvaises raisons.