Ashram de Swâmi Petaramesh

Vous devriez être en train de regarder Arte : Thema sur "la société de surveillance"

Bien que la raison pour laquelle il en a fait la demande semble depuis puissamment tombée à l'eau, Swâmi Petaramesh se trouve doté d'un tout nouveau tout beau passeport électronique...

Via Embruns, un lien vers cet article de quechoisir.org : Données privées, la sécurité déraille, dont un petit extrait suffit à faire froid dans le dos :

Un problème de protection des données sur le site Internet de la RATP a permis tout cet été à n'importe qui d'accéder à des centaines de formulaires pré-remplis. La régie était au courant, mais n'a rien fait.

Des centaines de formulaires d'adhésion au service Navigo de la RATP avec, sur chacun d'entre eux, la photo du demandeur, ses nom, prénom, adresse postale, courriel et numéro de téléphone. Voilà ce à quoi pouvaient avoir accès les internautes il y a encore quelques jours sur le site Internet de la RATP (voir exemple ci-dessous). Pour cela, pas besoin d'être un petit génie de l'informatique. Un peu d'imagination et quelques clics suffisaient pour avoir accès à ces données privées.

Lire l'article entier de quechoisir.org...

On rappellera pour mémoire que le système "Navigo" de la RATP s'est vu attribuer un Prix Orwell 2002 lors des Big Brother Awards France. Voici les détails motivant la nomination de Navigo pour ce ''Prix Orwell'.

On rappellera aussi que les lyonnais ne sont pas mieux lotis, avec leur équivalent local, la carte Tecely, qui ne permet pas seulement de prendre le métro et louer des vélos, mais qui a elle aussi été nominée aux BBA pour des raisons similaires.

Ce qui est marrant, c'est que les râleurs "habituels" se font toujours, de prime abord, traiter de joyeux paranoïaques, et qu'ensuite après coup plus personne ne moufte quand on découvre des autobus, si j'ose dire...

Il se pourrait d'ailleurs que le site web de la RATP ne soit pas le seul dont l'application ait été testée avec les pieds, comme en témoignent ces deux copies d'écran de deux beaux crashes de l'applicatif web de Velo'v, dont un très bel "Overflow !".^[1]

Pour celui-ci, obtenu involontairement, trop facile, il suffisait, comme identifiant de compte, de taper son n° de carte TCL (12 chiffres) au lieu de son n° de carte Velo'v (6 chiffres). Et boum !

Pour celui-là, quand on consulte son compte, on a deux boîtes à liste permettant de choisir une date Mois / Année, dont les valeurs par défaut sont "--". Il suffit de valider sans choisir de date, en laissant bourrinement les tirets et badaboum, l'applicatif se gaufre.^[2]

Des plantages aussi grotesques prouvent que ça, c'est de l'applicatif qu'il a été testé avant d'être mis sur le vaste Internet à la disposition du public. Ca se voit ! (Mais la S.S.I.I. n'a pas du se priver pour facturer...)

Quant à moi, je n'ai même pas facturé le test et le rapport du problème au service technique. Je suis trop con, tout de même, hein?

(Ah, sinon, la saisie de l'identifiant / mot de passe se fait également sur une page ordinaire, non chiffrée SSL. Sécurité, quand tu nous tiens...)

Maintenant, petit test. La RATP ne corrige pas quand on leur dit. Velo'v fera-t-il mieux ?

Addendum 14:44 : En réponse au premier commentaire d'Yves, en effet, ça paraît nécessaire :

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés
(Journal Officiel du 7 janvier 1978 )

Article 29

Toute personne ordonnant ou effectuant un traitement d'informations nominatives s'engage de ce fait, vis-à-vis des personnes concernées, à prendre toutes précautions utiles afin de préserver la sécurité des informations et notamment d'empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés.

Puis Code Pénal, article 226-17 :

Le fait de procéder ou de faire procéder à un traitement automatisé d'informations nominatives sans prendre toutes les précautions utiles pour préserver la sécurité de ces informations et notamment empêcher qu'elles ne soient déformées, endommagées ou communiquées à des tiers non autorisés est puni de cinq ans d'emprisonnement et de 2 000 000 F d'amende.

Je me demande si ces belles pétitions de principe ont jamais donné lieu à la moindre condamnation, en pratique... Quelqu'un sait ?

Acceptation par la population :

La sécurité est très souvent vécue dans nos sociétés démocratiques comme une atteinte aux libertés individuelles. Il faut donc faire accepter par la population les technologies utilisées et parmi celles-ci la biométrie, la vidéosurveillance et les contrôles.
Plusieurs méthodes devront être développées par les pouvoirs publics et les industriels pour faire accepter la biométrie. Elles devront être accompagnées d'un effort de convivialité par une reconnaissance de la personne et par l'apport de fonctionnalités attrayantes :

- Éducation dès l'école maternelle, les enfants utilisent cette technologie pour rentrer dans l'école, en sortir, déjeuner à la cantine, et les parents ou leurs représentants s'identifieront pour aller chercher les enfants.
- Introduction dans des biens de consommation, de confort ou des jeux : téléphone portable, ordinateur, voiture, domotique, jeux vidéo

- Développer les services « cardless » à la banque, au supermarché, dans les transports, pour l'accès Internet...

La même approche ne peut pas être prise pour faire accepter les technologies de surveillance et de contrôle, il faudra probablement recourir à la persuasion et à la réglementation en démontrant l'apport de ces technologies à la sérénité des populations et en minimisant la gène occasionnée. Là encore, l'électronique et l'informatique peuvent contribuer largement à cette tâche.

Livre bleu du GIXEL (version initiale avant son autocensure, mise de parties en gras par moi-même.)

"Faire accepter" l'usage généralisé de la biométrie ? Y familiariser nos Nains dès le berceau, enfin presque ?

Ils en rêvaient ? Lexibook l'a fait !

Avez-vous eu récemment la joie de vous faire refaire des papiers d'identité ?

Saloperie d'enculé de bâtard de merde de technocrate sadique de mes couilles !

...Ou aurais-je du intituler ce billet Cravatiquement correct ?

Une expérience intéressante aujourd'hui : Tout juste deux heures après avoir envoyé par e-mail une candidature à une importante société, je jette accidentellement un coup d'oeil à mes logs Apache, et je vois, hasard ô grand hasard, à ce moment précis, le proxy-http de l'importante société en question en train d'éplucher les pages de mon site web personnel (pas le blog de Swâmi Petaramesh, mais le site existant sous le nom que je porte vis-à-vis de l'Etat Civil en héritage de mon pôpa et de ma môman).

Je n'ai rien contre les coïncidences, mais elles ont parfois une forte odeur de relation de cause à effet...

Dois-je préciser que ni ma lettre de candidature, ni mon CV, ne précisaient l'existence ou l'URL de mon site web personnel ? Bon, certes, cette dernière n'est pas bien difficile à deviner...

Un bon rappel, faisons un noeud à notre cerveau, que, par les temps qui courent, si vous cherchez du boulot et possédez également un site web personnel facile à mettre en rapport avec votre identité, il y a de bonnes chances qu'il soit consulté par votre futur (ou pas) employeur avant même que vous n'ayiez un premier entretien avec lui.
Et le contenu de votre site web jouera nécessairement en votre faveur ou défaveur dans le cadre du processus de recrutement. Même si son contenu est purement personnel. Même si les éléments qui entrent alors en ligne de compte relèvent de votre vie privée ou des opinions politiques ou philosophiques que vous y affichez. Si cela joue en votre défaveur, vous ne serez probablement d'ailleurs jamais informé que cette consultation a eu lieu. Mais vous risquez d'attendre longtemps votre convocation à un entretien...

Tout peut entrer en compte, y compris une orthographe de chiottes et une grammaire à faire peur sur votre site perso, alors que par ailleurs vous avez relu douze fois votre lettre de motivation dictionnaire à la main, vous savez, celle ou vous aviez écrit que vous possédez une grande aisance dans l'expression écrite ;-)

Bon, enfin, je ne suis tout compte fait pas mécontent que certaines de mes opinions les plus politiquement et médèfiquement incorrectement polémiques soient désormais ici plutôt que là-bas...

Ce billet fait suite au premier article que j'ai consacré à la clé (flashdisk) USB BioFlash, article dans lequel j'envisageais la chose du point de vue philosophique et du point de vue de la sécurité (ou plutôt de la potentielle absence de sécurité) du bidule, impression causée par la totale absence d'informations précises fournies dans le manuel.