26C3 – Conférence du CCC à Berlin (3)
Troisième jour de cette conférence et la sélection que je vous en propose.
Mardi
- Erik Tews, « DECT (part II), what has changed in DECT security after one year« . Auteur d’attaques contre WPA/TKIP (voir cet article), Erik Tews faisait le point (avec Karsten Nohl) une année après une présentation faite au 25C3 sur les défauts de sécurité du chiffrement DSC et DSAA utilisés par le standard de communication sans fil DECT (http://www.dedected.org/). Cette année, ils exposent des scénarios d’attaque contre DSC et le DECT Forum a d’ailleurs annoncé par avance un certain nombre d’évolutions à venir dans le standard.
- Andrew Strutt (rodent) et DaBeave, « DDoS/botnet mitigation & hosting online communities« , sur l’impact des Botnets sur les communautés en ligne. En réalité une présentation très concrète sur la façon de sécuriser un serveur de communauté en ligne (forums Web, serveur IRC, etc…) contre les attaques typiques que peuvent créer les botnets et autres sources de problèmes.
- Harald Welte, « Using OpenBSC for fuzzing of GSM handsets« , sur le développement d’OpenBSC, les découvertes sur les difficultés des implémentations des protocoles du GSM et les potentialités en termes d’expérimentation de sécurité.
- Steven J. Murdoch, « Optimised to fail« , sur la sécurité des lecteurs de carte bancaire anglais destinés au commerce ou à la banque en ligne. Il propose un certain nombre de pistes d’amélioration.
- Moti Yung, « Yes we can’t ! On kleptography and cryptovirology« , sur les diverses utilisations des techniques de chiffrement par les logiciels malveillants. Site web sur la cryptovirologie.
- Dan Kaminsky, met en évidence dans sa présentation « Black Ops of PKI » un certain nombre de défauts dans les procédures prévues par le protocole X509 sous-jacent dans la gestion des infrastructures de gestion de clés publiques. Notamment le fait que sur Internet il existe une égalité de fait des autorités de certification, que la délivrance de certificats est le plus souvent basée sur le protocole DNS (très critiqué par Kaminsky), etc. Il passe notamment un certain temps à montrer les problèmes d’implémentation liés à l’encodage ASN.1 utilisé dans les certifications X509 (par Internet Explorer notamment, mais sans préciser la version). Il finit par une promotion appuyée de DNSSEC (par ici, un commentaire d’Ivan Ristić sur cette prestation). Pas très neuf au final, déjà développé par Kaminsky à Black Hat USA 2009, Toorcon, et peut-être à d’autres conférences.
Using OpenBSC for fuzzing of GSM handsets
26C3 – Conférence du CCC à Berlin (2)
… suite du suivi des présentations intéressantes du 26C3 (vues en vidéo par Internet, les commentaires de personnes qui sont effectivement à Berlin sont les bienvenus) :
Lundi
- Michael Brennan a exposé ses travaux à l’université de Drexel sur la « Stylométrie ». Il s’agit de l’attribution d’un texte à un auteur à partir de son étude linguistique. La présentation portait aussi sur les impacts de ces méthodes en matière de vie privée: peut-on se faire passer pour un auteur, peut-on détecter un pastiche, peut-on cacher son style ?
- Un français, Sébastien Bourdeauducq (alias lekernel), a présenté son travail sur la plateforme Milkymist de synthèse d’effets spéciaux visuels. Il s’agit de développements réalisés sur un circuit logique programmable FPGA, en licence opensource.
- Collin Mulliner, « Fuzzing the phone in your phone » (déjà présenté au Black Hat USA 2009), travail conjoint avec Charlie Miller. Il s’agit d’insérer des SMS dans le téléphone mobile comme s’il les recevait du réseau (via la connexion modem du terminal) pour tester différentes hypothèses et concevoir des attaques par SMS (attaque en déni de service contre l’IPhone, Android ou Windows Mobile) et surtout permet de détecter des bugs dans les téléphones.
- FX de l’équipe Phenoelit présente des travaux sur la protection contre les attaques basées sur du contenu riche sur Internet (il a étudié les animations Flash malveillantes). Il s’agit de tester les applications Flash avant leur exécution. On peut trouver de l’information sur ce projet sur son site et ici un lien vers un article qui rend compte de cette présentation.
- Henryk Plötz et Karsten Nohl, ont renouvelé l’attaque qui avait défrayé la chronique sur la classe de produits Mifare Classic il y a deux ans, mais cette fois sur Legic Prime, un produit de contrôle d’accès sans contact d’origine Suisse. Ils avertissent que cela ne concerne pas pour l’instant les nouveaux produits de cette société (Legic Advant). Un autre article qui rend compte de cette présentation ici.
- Sous le pseudo nibbler, une présentation intitulée « Haste ma’n netblock« , au sujet de la récupération légale (ou non) des blocs d’adresses IPv4 alloués mais non utilisés…
- Philippe Langlois et Vanessa Brunet, dans « SCCP hacking, attacking the SS7 & SIGTRAN applications one step further and mapping the phone system« , sujet déjà présenté ce mois-ci à Sao Paulo. Y sont présentés différentes vulnérabilités, possibilités d’attaques et solutions de sécurisation des réseaux de téléponie modernes.
A noter que les vidéos officielles sont maintenant disponibles.
26C3 – Conférence du CCC à Berlin (1)
La 26ème conférence du Chaos Computer Club se tient cette semaine à Berlin, du 27 au 30 décembre 2009. En effet, cette association allemande organise depuis 1984 une conférence annuelle qui réunit plus de 2000 participants. Le caractère assez ouvert de cette événement permet à tout un chacun de voir en direct sur Internet les présentations qui ont lieu dans les différentes salles. Je vous propose un résumé de quelques présentations intéressantes auxquelles j’ai pu assister ainsi grâce à la magie d’Internet.
Le programme est accessible sur le Wiki de la conférence.
27 décembre 2009
- Jérémie Zimmermann (la Quadrature du Net) s’est exprimé sur la neutralité du Net ;
- Philippe Oeschlin (société Objectif Sécurité) a consacré son exposé à des failles de sécurité dans différentes applications commerciales de chiffrement (une clé USB sécurisée et deux logiciels de création de volumes chiffrés). L’intérêt de sa démonstration est qu’il n’est nul besoin de se lancer dans une attaque brute contre des systèmes de chiffrement particulièrement puissants, mais qu’il vaut mieux pour le cryptanalyste s’intéresser aux défauts de l’implémentation. Les défauts remarqués (et parfois corrigés depuis par les fabricants): l’envoi par la clé USB d’informations vers le système sur les mots de passe, un fichier de contrôle un peu fragile accompagnant le conteneur chiffré et un code de contrôle qui révèle beaucoup d’informations sur les mots de passe (permettant de le craquer en 2h30 au lieu de 1.7 année !). Philippe Oeschlin souligne aussi qu’aucun de ces systèmes n’utilise de sel pour initialiser le chiffrement et sont donc sensibles à la mise en place de tables arc-en-ciel (concept que Ph. Oeschlin a inventé).
- La démonstration par Qin Liu d’une expérience d’interception d’informations transmises par un système de cryptographie quantique. Une fois de plus ce n’est pas la cryptographie quantique qui est ici en cause, mais la façon dont elle a été implémentée.
- Chris Paget et Karsten Nohl ont fait une présentation assez intéressante sur les défauts inhérents au chiffrement A5/1 utilisé dans la téléphone GSM et ont cherché à démontrer la faisabilité des interceptions de la voie radio de ces communications (au passage, je tiens à rappeler que la fabrication ou la détention d’un tel dispositif sont illégales, au moins en France, en vertu de l’article 226-3 du code pénal) – à noter le buzz que commence à faire cette histoire (et ici) et le projet avait déjà été évoqué précédemment.
- Fabian Yamaguchi a fait une présentation particulièrement vivante (ma préférée parmi celles que j’ai pu voir au cours de cette première journée) sur des défauts de sécurité dans différents protocoles réseau ou leurs implémentations (attaque de failles dans un client de messagerie instantanée, dans un pilote de périphérique Ethernet, dans Squid – un proxy Web, etc…), qu’il déroule dans un scénario limpide et à la difficulté croissante (accrochez-vous quand même !).
Vous pouvez aussi visualiser les présentations sous forme de fichiers vidéo en téléchargement (lien temporaire pendant la conférence). La suite de mes impressions demain.
Est-il illégal de publier des failles de sécurité ?
GNU/FDL - ēɾaṣøft24 sur Commons
J’avais déjà discuté d’un sujet approchant (mais différent sur le fond) en évoquant l’affaire Zataz récente (sur ce blog, le 05/10/2009). Est-on libre d’échanger sur les failles de sécurité ?
La décision de la cour d’appel de Montpellier
Commençons par le commencement, la cour de cassation se prononçait en effet sur une décision de la cour d’appel de Montpellier datant du 12 mars 2009. La chronologie y est rappelée:
- il est créé en 2004 une société « spécialisée dans le conseil en sécurité informatique » ;
- le 26 octobre 2005, l’OCLCTIC « avisait le Parquet de Montpellier que la société XYZ diffusait sur son portail internet www…..com des scripts permettant d’exploiter des failles de sécurité informatique, directement visibles sur le site et accessibles à tous« ;
- (non expliqué dans l’arrêt) le bulletin de sécurité Microsoft MS05-053 du 08 novembre 2005 publiait un avis avec une correction proposée, qui ne se révélera pas suffisante ;
- l’enquête était ensuite confiée à la DST, cette enquête confirmait que le dit site Web diffusait « un code d’exploitation d’une faille dans le moteur graphique WINDOWS qui avait donné lieu à une alerte du CERTA (Centre d’Expertise gouvernemental de Réponse et traitement des Attaques informatiques) publiée le 28 décembre 2005 et avant que MICROSOFT y remédie le 5 janvier 2006″;
- il est entendu le 14 mars 2006 par les enquêteurs et on apprend que les revenus de cette société sont issus de la publicité que voient ses visiteurs et d’abonnements que prennent différentes sociétés aux alertes de sécurité ;
- le 28 août 2006, il est entendu et mis en examen par le juge d’instruction et lui confirme qu’il ne diffusera plus d’exploits sur son site Web, il aurait notamment expliqué que la publication de failles et d’exploits lui permettait d’asseoir ses compétences ;
- le prévenu était renvoyé devant le tribunal pour avoir, courant 2005 et 2006 mis à disposition sans motif légitime des programmes ou données conçus ou adaptés pour une atteinte au fonctionnement d’un système de traitement automatisé des données (infraction prévue par l’article 323-3-1 du code pénal);
- il est relaxé par le tribunal correctionnel,
au motif qu’il est établi que le site www…..com n’incitait en aucune façon à l’utilisation de ces codes à des fins malveillantes ou de piratage informatique, que la seule intention qui ait animé X… Y…. est un souci d’information des menaces existantes non corrigées à destination des utilisateurs de programmes informatiques, qu’il justifie d’ailleurs en avoir été remercié par MICROSOFT, aucune intention délictueuse n’est établie
- la cour d’appel argumente en soulignant que l’article 323-3-1 du code pénal ne prévoit pas « que soit caractérisée une incitation à l’utilisation d’un tel système », mais réprime « le fait sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre des atteintes aux systèmes de traitement automatisé des données »;
- eu égard à sa personnalité, le prévenu n’était condamné qu’à 1000 euros d’amende correctionnelle.
Première conclusion: la personne en cause n’a pas été condamnée pour la publication de failles de sécurité, mais pour la diffusion d’exploits, c’est-à-dire de programmes permettant d’exploiter ces failles de sécurité. On notera au passage que ni Microsoft, ni le CERTA n’ont été poursuivis pour avoir diffusé les informations sur les dites failles, c’est une reconnaissance implicite de la légitimité de l’information sur les failles de sécurité.
La décision de la cour de cassation
Dans un premier temps, il faut comprendre sur quoi ce basait le pourvoi en cassation de l’avocat de la personne condamnée en appel: les défauts de motif et de base légale. L’argumentation se base sur le texte de la convention du Conseil de l’Europe sur la cybercriminalité, que son client n’incitait pas à commettre d’infraction avec les dits outils de piratage, que la cour ne s’appuyait que sur la motivation économique du prévenu et faisait référence à des antécédents judiciaires de façon générale.
L’argumentation de la cour de cassation se présente de la façon suivante:
- le site Web diffusait de façon visible et accessible des moyens permettant d’exploiter des failles de sécurité ;
- la compétence en sécurité informatique du prévenu ne pouvait lui faire ignorer le risque lié à l’utilisation éventuelle des codes d’exploitation qu’il diffusait et il ne peut donc arguer ainsi de son intention d’informer ;
- elle écarte le débat sur les antécédents judiciaires et conclut que la cour d’appel a parfaitement justifié la condamnation.
Le pourvoi en cassation est donc rejeté. Le prévenu définitivement condamné.
Conclusion
L’article 323-3-1 du code pénal:
Le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 est puni des peines prévues respectivement pour l’infraction elle-même ou pour l’infraction la plus sévèrement réprimée.
La cour de cassation a donc bien confirmé qu’il n’est pas légitime, sous des motifs d’information du public, de diffuser sur un site Web accessible à tout un chacun des programmes informatiques ou des codes source de programmes informatiques permettant d’exploiter des failles de sécurité.
En revanche, il est parfaitement légitime d’informer sur les failles de sécurité.
Les débats présentés ici nous permettent de comprendre aussi que le juge est parfaitement ouvert à considérer que l’information de professionnels (en particulier la société qui commercialise un logiciel défaillant, les CERT, etc…) sur les moyens concrets d’exploiter des failles de sécurité, dans un contexte de bonnes pratiques est légitime, mais ce n’est pas ce qui était reproché dans cette affaire.
Cyberformation contre cybercriminalité (Bulletin de l’ILEC)
Le numéro 404 du bulletin de l’ILEC (Institut de liaison et d’étude des industries de la consommation, site Web de l’association par ici…) publie un numéro spécial sur la cybercriminalité. Il se présente sous la forme d’entretiens sur les sujets suivants:
- Une mutation du crime organisé, entretien avec Myriam Quéméner, page 1
- L’entreprise dans la ligne de mire, entretien avec Joël Ferry, page 4
- Information bien gardée, entreprise avisée, par Rémy Février, page 5
- Un mal inéluctable, entretien avec René Henri Legret, page 7
- Cyberformation contre cybercriminalité, entretien avec Eric Freyssinet, page 9
- ANSSI, nouvelle arme de l’État, entretien avec Michel Benedittini, page 11
- Vers une cyber-ONU, entretien avec Christian Aghroum, page 12
- Une vigie de la cybercriminalité mondiale, entretien avec Régis Fohrer, Dominique Schoenher et Rémy Février, page 14
- Maîtres-toile contre cyberbrigands, entretien avec Jean-Paul Pinte (son blog), page 15
Merci à Jean-Watin Augouard d’avoir retranscrit ainsi nos échanges.
Avec ou sans caféine ?
Je ne peux m’empêcher de commenter aujourd’hui les développements autour de COFEE et DECAF.
COFEE est un outil logiciel développé par Microsoft permettant de construire sur une clé USB une compilation d’outils de collecte de données lors d’une intervention par un enquêteur sur un ordinateur allumé. Il est diffusé exclusivement auprès des services policiers dans le monde entier, notamment au travers d’Interpol.
Il a fait l’actualité lors de sa diffusion (finalement assez inévitable) sur Internet et plus récemment suite à la diffusion d’un outil sensé contrer son usage « DECAF ».
Fonctionnalités de COFEE
J’ai personnellement assuré des formations qui évoquaient ce logiciel (entre autres solutions), lors d’une formation sur les live forensics à Vienne au mois de Juin et lors d’une récente rencontre des enquêteurs spécialisés français à Montluçon qu’organisait la gendarmerie. Que fait donc réellement ce logiciel ?
- COFEE génère grâce à une interface conviviale une clé USB de collecte de données ;
- Le script ainsi fabriqué est adapté par l’enquêteur à chaque situation ;
- Le script vérifie les outils utilisés, pour s’assurer qu’il s’agit bien de ceux qui ont été configurés par l’enquêteur (il est en effet particulièrement important d’utiliser des outils contrôlés, par exemple il serait incorrect d’utiliser les outils présents sur l’ordinateur examiné qui peuvent être contaminés par un virus) ;
- Il est possible d’interrompre un processus qui serait trop long (il arrive que des outils prennent trop de temps par rapport aux contraintes de la perquisition par exemple) ;
- Enfin, les résultats sont rassemblés dans un rapport qui sera transformé en pages Web une fois revenu sur l’ordinateur de l’enquêteur pour les exploiter plus facilement.
Pourquoi COFEE a-t-il une diffusion limitée ?
Microsoft a décidé de limiter la diffusion de son outil COFEE. La raison première est tout simplement qu’il s’agit pour une fois d’un développement gratuit au profit des services de police, et pas au profit d’autres: Microsoft n’a pas choisi de le commercialiser au profit des professionnels de la sécurité, c’est parfaitement son droit. Ce n’est pas le seul outil criminalistique réservé aux services d’investigation officiels.
Mais, l’image de Microsoft a conduit certains à critiquer cette démarche, voire à suspecter l’exploitation de fonctions non documentées de Windows. Dès que COFEE a été diffusé sur Internet, il a été décortiqué et critiqué. C’est d’ailleurs intéressant de voir combien certaines critiques sont injustes ou de mauvaise foi. Peut-être la communication de Microsoft a-t-elle été maladroite (oui, il s’agit aussi pour une entreprise commerciale telle que celle-là de se faire de la publicité), mais il reste que c’est une contribution parfaitement valable au travail de la justice dans le monde, tout comme le sont tous les outils reconnus par la communauté (article sur Praetorian, ou sur ForensicsWiki).
La courte (?) saga DECAF
Mi-décembre, deux « hackers » américains ont diffusé sur Internet un outil permettant de contrer l’utilisation de COFEE. DECAF (originalement sur http://www.decafme.org/) permet, une fois installé sur un ordinateur, détecterait le lancement de COFEE sur cet ordinateur et lancerait un certain nombre de contre-mesures, comme l’éjection des périphériques USB.
Depuis, ses développeurs ont désactivé l’outil… En effet, il avait besoin d’une connexion Internet à son lancement et vérifiait la présence d’informations sur le site des développeurs. Il est évidemment possible de faire croire au logiciel qu’il est encore autorisé à fonctionner. Ces derniers avaient donc très certainement une idée derrière la tête depuis le départ: se faire de la publicité ? créer du buzz autour de COFEE ? faire passer un message ? Ce qu’ils affichent sur leur page web n’est pas très clair:
Peut-être comprendrez-vous un peu de leurs motivations initiales en écoutant cette interview donnée sur CyberSpeak ou cette vidéo diffusée sur le net:
[youtube=http://www.youtube.com/watch?v=lF-g1Pb1tGM]
Qu’est-ce que j’en pense au bout du compte ?
Au bout du compte, pour nos enquêteurs c’est un exemple concret d’un outil anti-criminalistique (ou anti-forensic). On en rencontre finalement assez peu.
Deuxièmement, il ne faut pas qu’une telle mésaventure détourne les sociétés informatiques, petites ou grandes, de l’intérêt de participer au développement de solutions pour les services d’enquête.
Enfin, je ne connais pas de services spécialisés dans le monde qui envisagent ou envisageaient de n’utiliser qu’un seul outil comme COFEE. Lorsqu’on enseigne l’analyse des systèmes vivants (live forensics), on apprend justement aux enquêteurs à utiliser une multitude de solutions complémentaires, à faire les bons choix, à maîtriser leurs outils. Et il est important que puissent subsister et se concurrencer (au sens le plus positif de ce terme) des outils libres, des outils commerciaux, des outils ouverts, payants ou gratuits: on a besoin de cette variété et du foisonnement des idées.
A suivre donc…
Un peu de son disque dans un PDF
Cette « faille » de confidentialité a été révélée par un article sur le blog SecureThoughts.com. Et c’est assez simple en réalité.
Lorsque vous imprimez une page Web sous forme de fichier PDF, il est courant que l’application insère le nom du fichier imprimé en pied de page et par défaut il s’agira du chemin complet vers le fichier imprimé… Donc si vous avez sauvé localement une copie de la page Web ou construit sur votre disque dur la page Web en question, le chemin complet apparaîtra, révélant certaines informations sur votre arborescence, comme votre nom d’utilisateur local.
Il est d’ailleurs possible de configurer sous Internet Explorer le pied de page (Menu Fichier / Mise en page… / Pied de page, remplacer URL par – Vide – ou autre chose).
Ce qui pose problème est que lorsqu’on effectue cette impression depuis Internet Explorer 8 (et selon l’auteur pas depuis d’autres navigateurs), l’impression insère par défaut ce chemin complet vers le fichier imprimé à l’intérieur du code du fichier PDF, sans qu’il soit possible de modifier cet état de fait, et ce quel que soit le moteur d’impression PDF utilisé (Adobe, CutePDF, etc.). Ce serait d’ailleurs aussi le cas lorsque l’on invoque l’impression depuis l’explorateur de Windows.
L’auteur de cet article propose de chercher un certain nombre de ces fichiers dans votre moteur de recherches préféré en entrant comme mots clés: « filetype:pdf file c (htm OR html OR mhtml) » (puis d, e, etc. à la place de c). Outre des fichiers PDF qui arborent cette information dans le pied de chaque page, on trouve aussi des fichiers qui les abritent au sein du code PDF, à l’insu vraisemblablement de la personne qui a publié ce fichier.
Sous un angle criminalistique, ces métadonnées sont évidemment particulièrement intéressantes pour rapprocher une impression PDF d’un ordinateur. Sur le plan de la vie privée, avant de publier un PDF d’une page Web sur son site Web, on veillera à utiliser une autre configuration.
La vulnérabilité SSL/TLS démontrée sur Twitter
![Twitter_Badge_1[1]](http://crimenumerique.files.wordpress.com/2009/11/twitter_badge_11.png "Twitter_Badge_1[1]"){kind=icon}
Au début du mois de Novembre, une vulnérabilité touchant la fonction de re-négociation des protocoles de sécurisation SSL/TLS était rendue publique (et j’en avais déjà parlé ici). Cette semaine, une nouvelle démonstration de cette faille a été faite sur la plateforme Twitter. La société Twitter a déjà corrigé cette faille.
![TLS-renegotiate[1]](http://crimenumerique.files.wordpress.com/2009/11/tls-renegotiate1.png?w=115 "TLS-renegotiate[1]")
Cliquer sur l'image pour aller vers l'article
Beaucoup de spécialistes ont rapidement souligné que cette vulnérabilité ne devrait pas avoir d’application facile dans la vie réelle. Malheureusement il semble qu’il faille effectivement la prendre au sérieux. En effet, Anıl Kurmuş, jeune chercheur en sécurité Suisse, a rendu public une démonstration (il l’annonçait mercredi 11 novembre sur Full Disclosure) de la possibilité d’exploiter cette attaque sur Twitter.
Le principe sous-jacent est assez simple puisqu’il repose sur la fonctionnalité même de Twitter qui vise à laisser l’utilisateur publier n’importe quoi. Il a suffi à Anıl Kurmuş de détourner l’API (interface de programmation) de Twitter pour publier en lieu et place du message une partie du cookie, qui contient systématiquement le mot de passe codé, dans le cas de Twitter:
Démonstration d'Anil Kurnus
Il ne reste plus qu’à décoder l’identification qui est ici transmise en Base 64 (ou à la réutiliser telle qu’elle !). Twitter aurait depuis le 10 novembre corrigé la faille. On peut suivre l’évolution des publications des mises à jour des applications concernées par la faille de re-négociation SSL/TLS sur le site de Phonefactor, pour l’instant une version mise à jour d’OpenSSL 0.9.8l bloque déjà la fonction de re-négociation, en attendant un correctif plus pointu.
Atelier « Droit à l’oubli numérique »
Sciences Po. Paris accueillait ce matin, 12 novembre 2009, un atelier organisé à l’initiative de Madame Nathalie KOSCIUSKO-MORIZET, secrétaire d’État chargée de la prospective et du développement de l’économie numérique. Portant sur le « Droit à l’oubli numérique », l’atelier était organisé en deux tables rondes abordant successivement l’oubli des traces et l’oubli des données publiées volontairement.
Présidé par la secrétaire d’État, le débat était animé par Bernard BENHAMOU, délégué aux usages de l’Internet. Alex TÜRK, président de la CNIL et sénateur du Nord était chargé de quelques mots en ouverture, tandis que Daniel LE METAYER (INRIA) a fait une rapide présentation sur les méthodes de préservation de la vie privée.
On saluera au passage la présence de parlementaires aux tables rondes (le député Patrice MARTIN-LALANDE et le sénateur Yves DÉTRAIGNE) ou dans la salle (Lionel TARDY, son blog-compte-rendu).
Dans son préambule, la ministre a rappelé la création d’un hashtag #oubli sur Twitter pour ceux qui souhaitent échanger par ce moyen.
Introduction par Alex TÜRK
Le président de la CNIL a rappelé que le droit à l’oubli était en réalité une préoccupation permanente de la commission, car effectivement à la base des règles de gestion des données personnelles au travers de la durée de conservation de ces données et du droit d’opposition. Il propose ensuite de remplacer l’attitude trop généralement rencontrée du « je n’ai rien à me reprocher », donc « ça ne m’embête pas que toutes ces données soient disponibles à mon sujet » (sous-entendu sur les réseaux sociaux et Internet en général) par le souci de son intimité, considéré comme une liberté fondamentale (consacrée par ailleurs dans le code pénal aux articles 226-1 et suivants). Enfin, M. TÜRK offre une première conclusion en faveur d’un gouvernement transparents et de citoyens non-transparents. Baudelaire faisait ainsi référence au « droit de se contredire et de s’en aller ».
L’oubli des traces
Cette première table ronde rassemblait des avocats et juristes, ainsi que des professionnels de l’Internet, dont la présence notable de Peter FLEISCHER (son blog), responsable de la protection des données personnelles chez Google.
On a ainsi pu noter au travers des annonces faites par Google et Microsoft une évolution des pratiques professionnelles vers une plus grande transparence (comme le Dashboard de Google) ou le souci de la protection de la vie privée dès la conception des outils (comme les PETs mis en œuvre notamment par Microsoft). En forme de conclusion, le député Patrice MARTIN-LALANDE appelle les acteurs professionnels à investir une partie de leurs bénéfices dans l’innovation permettant une meilleure gestion par les individus de leurs traces.
L’oubli des données publiées volontairement
Cette deuxième table ronde a notamment permis d’entendre, par la voix d’Alain GAVAND, la position des professionnels du recrutement. Ainsi, l’association A compétence égale publie une charte réseaux sociaux, Internet, vie privée et recrutement. Parmi les professionnels présents à la table ronde, le représentant de Skyblogs, Jérôme AGUESSE a dû reconnaître leur impuissance face au phénomène des dédipix, ces images non pornographiques mais parfois très intimes publiées par leurs usagers. Enfin, Valérie SÉDALLIAN, avocate, a témoigné d’une affaire qu’elle a eue à traiter qui démontrait la difficulté de protéger les internautes des données publiées sur des plateformes hébergées pour l’essentiel en dehors des juridictions européennes et le sénateur Yves DÉTRAIGNE a d’ailleurs regretté l’impuissance du législateur à faire évoluer ce problème.
Conclusion par Madame Nathalie KOSCIUSKO-MORIZET
Le mot de la fin est revenu à la présidente de cet atelier. Ainsi, a-t-elle souligné qu’on n’avait pas eu suffisamment le temps d’évoquer les cas des données qui échappent totalement au contrôle de l’individu: les données personnelles qui le concernent et qui sont publiées par d’autres personnes ou celles que l’on peut reconstituer (elle a notamment évoqué une étude du MIT qui démontre la possibilité de deviner l’orientation sexuelle d’une personne à partir de sa liste d’amis sur Facebook).
La secrétaire d’État appelle à poursuivre les débats sur Twitter, mais aussi sur le futur site du Secrétariat d’État qui sera lancé le 25 novembre 2009. Elle souhaite que les débats sur la gouvernance de l’Internet deviennent plus institutionnels et propose enfin que la discussion sur le droit à l’oubli puisse permettre de commencer à discuter d’harmonisation mondiale des pratiques de protection des données personnelles.
Commentaires personnels
L’écoute attentive de ces ateliers m’amène quelques réflexions. D’abord, il ne faut pas oublier qu’une partie du débat en matière de traces et d’oubli porte sur l’obligation qui doit être faite aux acteurs techniques de conserver les données permettant d’identifier les auteurs de contenus diffusés sur Internet ou l’utilisateur d’une adresse IP. Ainsi, le droit à l’oubli ne doit pas faire oublier le devoir de responsabilité individuelle de ses actes et le droit fondamental à la sûreté.
Sur le débat de l’application du droit français à des sites hébergés à l’étranger, il faut d’abord rappeler que le droit pénal français s’applique dès lors que l’un des faits constitutifs de l’infraction a lieu sur le territoire de la République française (article 113-2 du code pénal) et la jurisprudence a régulièrement retenu le fait qu’un site Internet puisse être visible depuis la France et concerne directement des citoyens français peut constituer un élément de cette infraction. Ensuite, l’article 113-7 prévoit très clairement que « la loi pénale française est applicable à tout crime, ainsi qu’à tout délit puni d’emprisonnement, commis par un Français ou par un étranger hors du territoire de la République lorsque la victime est de nationalité française au moment de l’infraction. »
Donc dans les cas où la victime est de nationalité française et en matière pénale, les outils existent bien et il nous revient de les faire appliquer, y compris contre des entreprises situées à l’étranger. Ce sera le cas pour des infractions de presse punies par une peine de prison, telles que les propos appelant à la violence en raison de la race, des pratiques sexuelles ou du handicap.
Le débat subsiste en matière civile, mais dans l’affaire AAARGH le juge s’était bien estimé compétent.
Enfin, Guillaume Desgens-Pasanau publie une tribune sur ce sujet d’actualité sur le blog de notre ouvrage.