La Transformation Digitale : Les questions éthiques en termes de Sécurité des données

Ce billet est un article invité. Il a été rédigé par Océane Mignot sur le blog de Bertrand Jouvenot.

Extrait de l’ouvrage : « La Transformation Digitale des entreprises : Principes, exemples, Mise en œuvre, impact social », Edition Maxima, Océane Mignot, Février 2019.

Qu’il s’agisse du secteur de la vente au détail, des banques, des organismes gouvernementaux ou d’autres entités, les organisations du monde entier continuent de renforcer leur sécurité informatique et en l’occurrence celle de leurs datas.  Alors que les statistiques montrent que des facteurs fondamentaux tels que le manque de planification d’une attaque de cybersécurité ou pire encore, l’état d’esprit  » ça ne nous arrivera pas « , sont encore très répandus. Il y a une autre raison pour laquelle les entreprises sont débordées, c’’est parce que leurs environnements informatiques hérités sont écrasants.

Pour protéger leurs données, les DSI et les RSSI ont eu recours à un large éventail de solutions ponctuelles de fournisseurs multiples et disparates. Ce phénomène crée une collection de sources de données hétérogènes.  De ce fait, leurs environnements informatiques sont de plus en plus difficiles à gérer et à protéger.

C’est pourquoi, il me semblait important de parler de l’utilisation malveillante de ses datas qui a fait malheureusement la « Une » des médias, ces derniers temps, concernant la cyber-attaque, la fraude d’identité …

La sécurité de l’information en péril

La digitalisation pose également de graves problèmes de criminalité. Internet ou les appareils connectés à Internet peuvent eux-mêmes être la cible d’actes criminels. C’est le cas du piratage ou des attaques DDoS (Distributed Denial of Service)[1] qui paralysent les sites ou systèmes. L’expérience montre que pratiquement n’importe quel système digital peut être piraté. En 2012, par exemple, des chercheurs de l’Université du Texas ont démontré au Département de la sécurité intérieure des États-Unis à quel point il était relativement simple de pirater et de prendre le contrôle d’un drone militaire[2]. Pour ce faire, ils ont utilisé la technique appelée « spoofing » (en français « Usurpation d’identité »). L’objectif de cette technique est d’obtenir un accès non autorisé à un dispositif en forgeant l’identité de la personne qui contrôle le dispositif. En effet, il existe une crainte de cyber terrorisme, dans les milieux politiques.

Les pirates informatiques peuvent également avoir accès à des informations sensibles, et ces informations peuvent se retrouver entre les mains de mauvaises personnes. Un compteur électrique intelligent (comme Linky, actuellement déployé par EDF en France) piraté pourrait donner aux cambrioleurs un aperçu des heures exactes de la journée ou de la semaine où les personnes ne se chauffent pas. Cette indication leur permettra de déduire l’absence de ces derniers dans leur logement. En plus d’extraire des informations qui leur sont précieuses à partir d’appareils intelligents, les criminels peuvent prendre le contrôle des appareils intelligents. Cela ajoute une nouvelle dimension à la question de la sécurité. Un chercheur en sécurité a démontré à quel point il est simple de pirater un jouet : la poupée Cayla. Il lui a fait citer des passages du roman érotique « 50 nuances de Grey » et du psychopathe fictif Hannibal Lecter dans le livre « Le silence des agneaux »[3]. Le piratage de la poupée est un exemple relativement anodin, mais Barnaby Jack, un hacker néozélandais qui a montré en conférence en 2011 qu’il pourrait pirater la pompe à insuline de son ami, nous laisse perplexes. Il pouvait prendre le contrôle total et était capable d’administrer une quantité fatale d’insuline. D’autres pirates informatiques ont déjà fait remarquer qu’ils pourraient prendre le contrôle d’un stimulateur cardiaque sans fil et faire en sorte que l’appareil produise un choc fatal[4].

La question de la sécurité devient encore plus complexe du fait que les appareils IdO sont connectés entre eux. Par exemple, le piratage réussi d’une machine à café peut vous donner accès à une voiture ou ouvrir la porte d’entrée. De plus, ce type de problème de sécurité est nouveau pour de nombreux fabricants d’électronique grand public, ce qui signifie qu’il n’a pas toujours fait l’objet d’une réflexion approfondie. Comme Runa Sandvik, un pirate informatique, l’a bien supposé : « Lorsque vous mettez de la technologie sur des objets qui ne l’avaient jamais eue auparavant, vous vous heurtez à des problèmes de sécurité auxquels vous n’aviez jamais pensé auparavant »[5]

Fraude D’IDENTITÉ.

La fraude d’identité est un problème social majeur qui ne fera probablement que prendre de l’ampleur. La fraude d’identité est l’obtention, l’appropriation, la possession ou la création intentionnelle de faux identifiants, dans l’intention de commettre un délit. La biométrie avancée doit réduire la fraude d’identité. De nos jours, les passeports sont munis d’une puce stockant un balayage facial et des empreintes digitales numériques. Au Royaume-Uni, on utilise la scintigraphie de l’iris. Outre la commodité fréquemment mentionnée pour les utilisateurs, la reconnaissance biométrique présente également la garantie, du point de vue de la sécurité, que l’utilisateur doit être physiquement présent. Cela réduit le risque de fraude par la falsification de documents, le vol de cartes et la divulgation de mots de passe.

Cependant, la technologie biométrique n’est pas infaillible[6]. Les systèmes biométriques peuvent être induits en erreur par des éléments falsifiés, par exemple au moyen de la mystification : falsification de caractéristiques afin de prendre temporairement une fausse identité. De cette façon, les pirates allemands ont montré qu’en utilisant quelques photos, comme celles d’une conférence de presse, ils pourraient falsifier l’empreinte digitale du ministre allemand de la Défense[7]. Un autre inconvénient est qu’en cas de vol d’identité biométrique, aucune autre empreinte digitale ou aucun profil facial ne peut être établi, contrairement à la possibilité de demander un nouveau mot de passe. Des méthodes moins sophistiquées de détection de la fraude d’identité ont également conduit aux premiers scénarios macabres relatifs à la sécurisation par empreintes digitales. Nous avons pu voir dans les faits divers le cas suivant : lors d’un vol de voiture équipée d’un lecteur d’empreintes digitales, afin de déconnecter la sécurité, le doigt du propriétaire a été coupé de sorte que les auteurs ont pu partir avec la voiture[8]. Au lieu de se limiter à de simples informations sur des personnes, une compréhension proactive de la biométrie est également nécessaire pour examiner comment cette « informatisation du corps » peut éventuellement affecter la manière dont les gens utilisent leur corps et vivent l’espace et le temps [9].

Sécurité : dommages psychologiques dans la Réalité Virtuelle (VR)

Les philosophes allemands M.Madary et T.K.Metzinger[10] se concentrent sur les risques des technologies de la Réalité Virtuelle (RV) qui donnent aux utilisateurs le sentiment d’être dans un corps différent du leur. Cet effet s’accentue en particulier dans les situations où les utilisateurs interagissent avec d’autres personnes virtuelles ou réelles. Dans ces cas, des comportements contraires à l’éthique se produisent, ce qui a déjà donné lieu à des controverses avec les jeux vidéo[11]. Un exemple bien connu est qu’un individu a rapporté que son avatar a apparemment été attaqué de façon indécente dans le jeu vidéo « Second Life ». Selon Madary et Metzinger, l’implication émotionnelle dans un environnement virtuel dans lequel nous sommes réellement incarnés est beaucoup plus grande. Cela signifie que les dommages psychologiques qu’une personne subit à la suite d’un attentat à la pudeur en Réalité Virtuelle seront probablement beaucoup plus importants que dans la réalité. Le cas précédent concernant l’avatar dans le jeu Second Life[12] en atteste. On s’attend à ce que dans un proche avenir, les gens se rencontrent plus souvent dans des environnements virtuels tel que les réseaux sociaux. Facebook soutient également ces possibilités et s’y prépare.

Extrait de l’ouvrage : « La Transformation Digitale des entreprises : Principes, exemples, Mise en œuvre, impact social », Edition Maxima, Océane Mignot, Février 2019.

Ce billet est un article invité. Il a été rédigé par Océane Mignot sur le blog de Bertrand Jouvenot.

[1] « Distributed Denial of service » est la paralysie intentionnelle d’un réseau informatique en l’inondant de données envoyées simultanément par de nombreux ordinateurs individuels.

[2] http://www.bbc.com/news/technology-18643134.

[3] Nicola Oakley « My Friend Cayla doll can be HACKED, warns expert – watch kids’ toy quote 50 Shades and Hannibal » paru dans MIRROR, 2015. http://www.mirror.co.uk/news/technology-science/technology/friend-cayla-doll-can-hacked-5110112.

[4] A.Greenberg, K.Zetter « HOW THE INTERNET OF THINGS GOT HACKED », paru dans WIRED en 2015.
http://www.mirror.co.uk/news/technology-science/technology/friend-cayla-doll-can-hacked-5110112.

[5] A.Greenberg, K.Zetter « HOW THE INTERNET OF THINGS GOT HACKED », paru dans WIRED en 2015.
http://www.mirror.co.uk/news/technology-science/technology/friend-cayla-doll-can-hacked-5110112.

[6] O.I. Heimo, A.Hakkala, K. K. Kimppa, “How to abuse biometric passport systems”, 2012, Journal of Information. Communication and Ethics in Society, 10(2), 68–81.

[7] A.Hern, “Hacker fakes German minister’s fingerprints using photos of her hands”, 30 décembre 2014, The Guardian, https://theguardian.com/technology/2014/dec/30/hacker-fakes-german-ministers-fingerprints-using-photos-of-her-hands.

[8] http://webcache.googleusercontent.com/search?q=cache:http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm

[9] I.Van der Ploeg, « Genetics, biometrics and the informatization of the body », 2007, Ann Ist Super Sanita, 43(1), 44–50.

[10] M.Madary, T. K. Metzinger, “Real virtuality: A code of ethical conduct. Recommendations for good scientific practice and the consumers of VR-technology.”, 2016, Frontiers in Robotics and AI, 3(3),  https://doi.org/10.3389/frobt.2016.00003.

[11] R. F. J. Seddon, “Getting ‘virtual’ wrongs right”, 2013. Ethics and Information Technology, 15(1), 1–11.

[12] J. M. Kizza, “Ethical and social issues in the information age”, 2013, London : Springer.