Réfléchir avant de cliquer : comprendre les risques liés à vos données personnelles en ligne - Mélanie Jarrar MiXiT 2023

Chaque jour, 3,8 milliards d’images sont partagées sur Snapchat. Chaque jour, 2,1 milliards de photos sont partagées sur Facebook. Ce sont des statistiques uniquement sur deux réseaux sociaux, on en compte environ une cinquantaine avec un million d’utilisateurs actifs, du coup ça fait vraiment beaucoup de contenus. Vous pourriez me dire « et donc ? Quel est le problème ? ». Le problème, c’est que sur ces chiffres, 50 % des photos d’enfants que les parents postent sur les réseaux sociaux se retrouvent sur les réseaux pédophiles.
Maintenant que j’ai toute votre attention : bonjour !, ça va être un peu plus fun.

Je m’appelle Mélanie Jarrar, j’ai 34 ans, mais je dis très souvent que j’en ai 25. Je suis ingénieure de la sécurité pour l’entreprise Squad, avant cela, j’ai travaillé au service de la sécurité pour la police technique et scientifique à Écully où j’ai pu notamment travailler avec des personnes qui sont en charge des investigations pédophiles.

Aujourd’hui, j’ai décidé de vous parler d’un sujet qui me tient à cœur qui concerne la sécurité des données personnelles. On va voir ensemble quels sont les risques liés à nos données personnelles en ligne et quelles bonnes pratiques on peut mettre en place pour se prémunir de ces risques.

On va d’abord définir ce qu’est une donnée une personnelle. La CNIL [Commission nationale de l’informatique et des libertés] nous dit ceci, elle nous donne cette définition : une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable ». C’est la définition officielle de la CNIL, mais j’aime bien parler aussi des autres données qui nous concernent, qui ne sont pas caractérisées comme étant de la donnée personnelle à proprement parler.
Si, comme moi, vous avez un certain âge, vous avez probablement eu un compte Facebook et vous avez peut-être déjà vu passer ce genre de test dans votre fil d’actualité : quel amoureux êtes-vous ? Avez-vous de l’assurance ? Quel est votre trouble mental ?, bien sûr !
On imagine que vous ayez fait par hasard, un dimanche soir, un peu tard, ce genre de test. Si on part du principe que vous avez répondu honnêtement, en fait le problème de ces tests-là c’est que ça récupère un certain nombre d’informations sur vous. Mis bout à bout une donnée personnelle, par exemple un nom/prénom d’un profil Facebook, plus ce que vous avez mis qui peut permettre d’en savoir un petit peu plus sur votre profil, eh bien là on arrive à quelque chose qui devient un petit peu plus risqué, on arrive à quelque chose qui porte un nom, qui s’appelle de la psychograhie, le fait de pouvoir profiler quelqu’un psychologiquement.

Je ne sais pas si vous avez déjà vu ce logo [Cambridge Analytica, NdT], ou entendu parler de ce nom, peut-être. Si, comme moi, vous avez Netflix, vous avez certainement entendu parler de ce documentaire qui s’appelle The Great Hack qui traite donc de Cambridge Analytica, ce fameux scandale Facebook-Cambridge Analytica [1].
Cambridge Analytica [2], c’est quoi ? C’est une entreprise spécialisée dans la comm’ et dans le big data. Le scandale c’est que, grosso modo, ils ont utilisé les données personnelles d’un certain nombre de profils Facebook et ils sont, en gros, accusés d’avoir contribué à l’élection de Donald Trump. On appelle cela de la manipulation de masse.
Vous reconnaîtrez peut-être à l’écran cet extrait du documentaire. Vous avez Brittany Kaiser, l’ancienne directrice du développement commercial, là elle est en train de chiller en Thaïlande dans une piscine et elle nous dit quelque chose d’intéressant dans ce documentaire, elle nous dit que l’année dernière le cours des données a dépassé celui du pétrole.
Évidemment, si on pouvait acheter nos propres données au cours en bourse, on serait tous très riches, mais ce n’est pas le cas ! C’est intéressant parce que ça nous permet de comprendre que c’est le modèle économique des réseaux sociaux, c’est nous, ce sont nos données, c’est ça qu’ils vendent, ils vendent ça à des annonceurs, etc.

Ce scandale commence un petit peu à dater, c’est 2018, vous pourriez vous dire « ça commence à dater, pourquoi tu nous en parles ? ». Je vous en parle parce que, finalement, le problème est récurrent, c’est-à-dire qu’aujourd’hui on a le même phénomène avec TikTok qui devient une application blacklistée pour un certain nombre de personnes : ça devient une application qu’il est interdit, notamment pour les officiels des gouvernements, de télécharger puisque TikTok est soupçonné d’extraire des données vers la Chine. Il y a donc un gros d’espionnage économique, géopolitique, etc., donc un gros problème lié à la confidentialité des données, à la sécurité des données qui sont sur TiTok.

Au-delà des scénarios catastrophiques comme la manipulation de masse, il y a d’autres risques liés notamment aux réseaux sociaux, dont on va parler.
Il y a des risques qui sont un petit peu plus individuels, je vais le rappeler. Je m’excuse, je sais que ce n’est pas fun mais ça existe toujours, c’est important d’être alerte là-dessus : il y a toujours un risque avec la pédophilie. Bien sûr, ce n’est pas nouveau que les psychopathes dégénérés pédophiles créent des faux-profils pour approcher des enfants. C’est important d’avoir ça à l’esprit parce que, malheureusement, ça existe encore.
Il y a aussi d’autres risques, par exemple le harcèlement, le cyberharcèlement qui, là aussi, est un risque majeur avec des conséquences très graves.
Vous avez aussi la problématique d’usurpation d’identité. Là on vole vos données, donc c’est compliqué. On peut faire beaucoup de choses avec une identité, c’est même très difficile de prouver qu’il y a eu usurpation d‘identité, de récupérer son identité.
Ce sont vraiment des risques qui, pour moi, sont majeurs et qui sont compliqués à traiter au vu des conséquences.

Comme moi, vous avez certainement reçu un appel téléphonique du CPF [Compte personnel de formation], comme beaucoup d’entre nous. Vous reconnaîtrez sur la capture d’écran, à gauche, une technique de spam, c’est finalement comme ça qu’ils font pour essayer de récupérer nos données personnelles. Ça peut être soit par téléphone, soit pas SMS, ça peut être par mail, c’est comme cela qu’ils font, en tout cas c’est une technique, on va dire, qui est très répandue.

À droite, peut-être que certains d’entre vous auront reconnu l’application Discord. Là on est plus dans une technique qu’on appelle d’ingénierie sociale. L’ingénierie sociale, c’est quoi ? On appelle ça de la fraude psychologique, c’est le fait de manipuler les gens dans le but de récupérer des données personnelles. Sur cette capture, à droite, on pourrait croire que Maroo, notre ami, nous envoie ce superbe fichier qui n’est pas un virus, comme il le dit lui-même. Le problème c’est que si Maroo fait partie de votre liste d’amis, vous pourriez croire que ce message est légitime, alors qu’en l’occurrence probablement que son compte a été piraté et, du coup, là on n’est plus dans la légitimité. Le problème c’est que si vous faites confiance à ça, que vous n’êtes pas alerte, vous prenez le risque de divulguer vos données à travers cette technique.

J’aimerais aussi vous parler d’un acronyme qui est devenu très mainstream ces dernières années, parce que le but de ce talk c’est aussi de vulgariser, de rendre accessibles ces informations, j’aimerais vous parler d’OSINT. L‘OSINT [3] qu’est-ce que c’est ? L’OSINT c’est la contraction de open source intelligence. Vous avez cette définition que j’ai récupérée sur le site osintfr.com, qui est une communauté francophone. Vous pouvez trouver un certain nombre d’informations sur ce qu’est l’OSINT. C’est donc une technique de renseignement qui utilise les informations qui sont open source, c’est la partie « OS » de l’acronyme et « INT » pour « intelligence », c’est le fait d’analyser, d’en faire quelque chose.
En fait, pour vous expliquer à quel point ça peut être facile pour tout le monde et que ça ne nécessite pas forcément d’avoir en compétences en cybersécurité ou en informatique très poussées pour arriver à faire ce genre de chose, j’espère que vous allez tous reconnaître la personne sur le slide suivant. C’est notre cher Antoine Daniel, bien sûr, et qu’est-il en train de faire ? Il est en train de jouer GeoGuessr. GeoGuessr qu’est-ce que c’est ? C’est tout simplement un jeu qui est basé sur Google Maps. Tout le monde ici a accès à Google Maps. Vous êtes projeté à un point au hasard, sur la carte, et le but du jeu c’est de retrouver où vous êtes.
Pourquoi je vous montre ça ? Et là qu’est-ce qu’Antoine Daniel est en train de faire ? Il est en train de regarder le flocage qu’il y a sur la voiture qui lui permet de déduire qu’il se trouve dans la ville de Valence.
Là où je voulais en venir c’est que le cyberharcèlement peut commencer par là. Vous avez des cas très connus, par exemple une streameuse sur Twitch qui postent une photo d’elles où on voit certains éléments de l’arrière-plan, ça peut être une maison, un jardin, des immeubles. Ça commence comme ça : les psychopathes qui veulent vous harceler se servent de ça pour essayer de retrouver où vous êtes.
C’est comme cela que le cyberharcèlement commence sur Internet et finit en bas de chez vous.

C’était important, pour moi, de vous montrer ça et de vous expliquer à quel point ça peut paraître plus simple qu’on l’imagine.

Loin de moi l’idée de vouloir diaboliser l’OSINT qui est, on le rappelle, une technique de renseignement, c’est devenu très mainstream, comme je l’ai dit, depuis la guerre en Ukraine, ça sert notamment à vérifier les informations, entre autres à débunker les fake news, ce genre de chose.
J’aimerais aussi vous parler d’une petite anecdote qui peut paraître improbable mais qui, pourtant, est réelle. Justement pendant la guerre et qui est toujours d’actualité, les femmes en Ukraine se sont servies de Tinder, notamment de la géolocalisation qui existe sur Tinder [Appli gratuite de rencontres, NdT], pour avoir une idée de où se trouvaient les soldats russes pour les fuir. Vous allez me dire que les soldats russes qui ont ouvert Tinder n’étaient pas très malins, globalement. Là où je veux en venir c’est que, finalement, tous les moyens sont bons pour récupérer l’information à partir du moment où elle est accessible. Là c’est accessible, il suffit d’avoir Tinder, d’avoir un compte Tinder, de l’ouvrir. Avec la géolocalisation, elles ont pu fuir les soldats russes, ce qui est, du coup, une très bonne chose.

On va voir comment faire pour protéger ses données personnelles, notamment en ligne. Il y a évidemment quelques bonnes pratiques, il y en a plein.
Il y a, tout d’abord, le fait d’avoir un mot de passe fort et unique pour chaque site qu’on utilise, je sais que c’est compliqué, mais maintenant vous avez des services de gestion de mots de passe pour faciliter ce genre de chose, c’est important.
Il y a l’authentification multifacteur, MFA, à minima la double authentification avec SMS ou avec une application comme Google Authenticator, etc.
Bien sûr, contrôler les applications tierces que vous utilisez. Par exemple, sur la gauche, vous avez une capture d’écran de Snapchat, c’est le téléchargement que vous faites sur Android et les permissions auxquelles elle souhaite accéder pour pouvoir fonctionner. Ce sont des choses qui peuvent être intrusives, c’est donc important de bien vérifier, de ne pas valider trop rapidement.
Là, par exemple, vous avez une autre capture, vous avez un service tiers probablement légitime, probablement que c’est utile d’utiliser ce service, sauf que là c’est un service sur Twitter. Quand on commence à regarder dans le détail ce à quoi on va autoriser cette application pour pouvoir fonctionner, ça devient un peu plus problématique puisque ça nous dit clairement qu’elle va écrire et supprimer des tweets à notre place ; on n’est pas par sûr que c’est ce qu’on veuille que l’application fasse.

Bien sûr, je vous recommande de toujours vérifier vos paramètres de confidentialité, là c’est Facebook, par exemple, mais vous l’avez sur tous les réseaux que vous utilisez, Linkedin notamment, pensez aussi à vérifier. Si vous ne l’aviez pas vu je vous le dis : Linkedin importe les contacts de votre téléphone, ça peut être une surprise si on ne l’a pas vérifié, donc pensez à le vérifier.
Vous pouvez aussi demander une archive de vos données. Là encore c’est une capture de Facebook, mais c’est aussi possible sur tous les réseaux, y compris, par exemple, Linkedin si vous utilisez en majorité Linkedin. Pourquoi faire ça ? Ça vous permet de contrôler ce que l’application sait de vous, donc, après, de rectifier le tir selon ce que vous souhaitez communiquer ou pas.

Si vous êtes victime d’un problème grave comme le cyberharcèlement ou si vous voyez du contenu illicite sur Internet, vous pouvez utiliser la plateforme PHAROS [4], qui est une plateforme officielle du gouvernement. C’est un point de centralisation, c’est là, derrière, qu’un officier de police judiciaire va pouvoir ouvrir une enquête en fonction du contenu illégal dont vous avez été victime ou dont vous avez été témoin. Pensez-y, c’est très important.

Bien sûr, c’est très difficile de ne pas parler aussi de la CNIL. Vous pouvez faire valoir vos droits, bien sûr, au regard du RGPD [5]. Aujourd’hui la CNIL a simplifié beaucoup de choses. Elle vous donne notamment des conseils [6] en fonction du type de réseau sur lequel vous voulez vérifier vos données, elle vous donne des exemples, des modèles de lettres ou de mails pour écrire aux DPO, un DPO c’est un Data protection officer, les personnes qui sont déléguées à la protection des données, pour faire valoir vos droits de suppression, par exemple, ou de rectification.

Vous pouvez également vous faire déréférencer de Google, en tout cas des informations qui ressortent sur vous sur Google. De manière générale je vous invite à vous chercher avec vos noms, vos pseudos, sur tous les moteurs de recherche que vous utilisez, pas que sur Google, pour voir ce qui ressort sur vous. Là, sur Google, s’il y a une photo volée par exemple, ou quelque chose qui apparaît, qui est public, qui vous concerne mais que vous ne voulez pas qui apparaisse, eh bien vous utiliserez ce type de formulaire pour faire supprimer vos données.

J’aimerais aussi vous parler d’une autre statistique qui, cette fois, est différente, qui n’a aucun rapport avec Internet, cette statistique est très marrante. Je ne sais pas si vous savez : il se trouve que 80 % des poubelles franciliennes recèlent au moins un document avec des données personnelles. Je pense qu’on est tous ici victimes d’Amazon Prime, bien sûr. Si jamais vous recevez des colis, je vous invite fortement à enlever l’étiquette, à déchirer l’étiquette avant de recycler le carton. En tout cas, si vous jetez des documents, des vieux documents, de bien les détruire avec une machine ou peu importe avant de les mettre à la poubelle. Le risque majeur, là, c’est l’usurpation d’identité, donc ça va être assez compliqué pour vous.

Il y a quelque chose qui est magique, par contre, avec Internet, à la différence du papier, c’est que tout ce qui est sur Internet reste sur Internet. Même si on supprime ce qu’on a fait, ça n’empêche les gens de faire des captures d’écran et ça peut donner des moments très gênants, surtout selon qui l’on est.

Le message, aujourd’hui, c’est de réfléchir avant de cliquer, c’est le titre du talk, c’est pour que vous compreniez que tout ce que vous mettez sur Internet reste sur Internet. En réalité, vous ne contrôlez plus l’information. Ce n’est pas parce que vous pouvez supprimer ou modifier un contenu qu’il n’a pas, auparavant, été capturé par quelqu’un, qui a fait un screen, tout simplement, et qui se permettra de le ressortir au moment opportun bien sûr.

Je vous invite à regarder ces fameuses captures d’écran que j’ai trouvées très drôles, notamment le tweet en bas qui est extrêmement misogyne, mais j’ai décidé d’en rire pour ma santé mentale bien sûr [Texte sous une photo de nourriture : « Ma mère me ramène ça sans que je lui demande rien, et j’en attends pas moins de ma future femme. », NdT].

Avant de twitter, peu importe si ce n’est pas sur Twitter, si c’est sur Facebook ou si c’est sur Linkedin, comprenez qu’il faut réfléchir à l’information qu’on transmet, à ce qu’on donne de nous, quel niveau de confidentialité ou d’information on donne sur nous et comment cette information pourrait être récupérée par quelqu’un dans le moment ou ultérieurement et quelles seraient les conséquences pour nous. Je vous invite vraiment à vous poser la question avant de poster quelque chose sur un réseau.

On approche de la fin de ce talk, évidemment tout est sourcé.
Je vous ai mis les petits sites que j’ai utilisés pour la construction de ces slides et je vous invite grandement à aller voir les deux documentaires qui sont sur Netflix : The Great Hack qui traite du scandale Cambridge Analytica, qui explique comment ils ont fait pour récolter toutes ces données et comment ils s’en sont servi pour manipuler la population et The Social Dilemma qui est plutôt un documentaire qui explique comment sont construits les réseaux sociaux, pourquoi on est tellement accro, comment faire pour un peu prendre du recul et ne pas avoir, on va dire, trop la tête dans le guidon.

C’était court mais intense. C’est la fin pour moi. Je vous ai laissé, évidemment, mes réseaux si vous souhaitez me contacter. Si vous avez des questions, bien sûr n’hésitez pas à me contacter sur Linkedin et Twitter pour plus de reach et que pour que je paye moins d’abonnement !
C’est tout pour moi. Merci de m’avoir écoutée.

[Applaudissements]