Internet of Things, une avancée remarquable, mais vulnérable
Auteure: Sixtine Balot, Étudiante au cours de DRT6929E
La société suédoise Epicenter, spécialisée dans les projets d’innovation numérique a récemment fait l’objet d’un éclat médiatique. En effet, cette dernière a pris la décision d’implanter des puces RFID (Radio Frequence Identification) sous la peau de plusieurs centaines de ses employés. Ces puces RFID, de la taille d’un grain de riz, sont dotées d’un mécanisme d’identification, porteuses donc de renseignements personnels. Le processus est simple, implantée entre le pouce et l’index, il leur suffira de passer leur main sous un capteur pour rentrer dans les locaux du bâtiment ou d’utiliser les photocopieuses.
Plus besoin de clés, ni de cartes à puce. Le responsable du projet, Hannes Sjoblad, défend cette idée en disant:
L’implant de ces puces RFID doivent nécessairement se faire avec le consentement des employés. Quand bien même ces puces RFID facilitent la vie au travail en termes d’accès et de gain de temps, certains sont d’avis que ces puces pourraient mettre à mal la Vie privée de ses utilisateurs. En France, la CNIL (Commission Nationale de l’Informatique et des Libertés) ainsi que la Commission Européenne sont quelque peu réticentes quant à l’utilisation de ces puces RFID. Il n’est pas tant question d’un détournement, d’un piratage (hacking) des puces en elles-mêmes mais plutôt de l’utilisation du capteur.
Si celui-ci se trouve compromis, n’importe qui pourrait avoir accès à ces données personnelles. D’autant plus que les informations contenues dans les puces RFID sont reliées à divers objets tels que le téléphone portable des employés. Utilisées à mauvais escient, l’employeur pourrait déterminer la position géographique de l’employé, en dehors de ses heures de travail. En cas de litige, l’employeur pourrait s’en servir afin de démontrer que l’employé n’était pas au bon endroit au bon moment. Pire, une personne tierce pourrait se servir de ces informations contre l’employé.
Ces puces, bien qu’insérées volontairement, constituent une avancée technologique que les employés ne sont pas toujours à même d’en comprendre les implications. Par ailleurs, dans le domaine professionnel, le consentement est généralement mis à mal (contrat d’adhésion, pressions sur l’employé d’accepter les termes au risque de ne pas décrocher le job).
Cette thématique nous mène directement à la problématique de l’Internet des objets (« Internet of Things »). A titre d’exemple, les voitures informatisées ont soulevé des questionnements concernant les éventuelles violations de vie privée (pistage, nombre de kilomètres parcourus,…). Tom Wright, Commissaire à l’information et à la protection de la vie privée/Ontario s’en inquiétait déjà en 1995 dans son rapport sur les systèmes intelligents de transport (SIT) et l’impact de ceux-ci sur la vie privée. Ce sujet est loin d’être clôturé. Le sénateur américain démocrate Edward J. Markey a relancé le débat dernièrement et selon lui il s’agit d’une « (…) clear lack of appropriate security measures to protect drivers against hackers who may be able to take control of a vehicle ».
On peut encore citer l’esclandre que les télévisions intelligentes (SmartTV) de Samsung ont suscité. Ces dernières seraient susceptibles d’enregistrer les conversations de ses utilisateurs. En effet, ces télévisions sont dotées de micros permettant de changer de chaine grâce au simple son de la voix. Branchée au net, la SmartTV pourrait donc enregistrer n’importe quelle conversation privée. En conclusion, l’Internet of Things est infini et dans un monde où tous les objets sont interconnectés, il faut considérer ces avancées technologiques avec la plus grande précaution. Il a toujours, a priori, un risque de voir des informations sensibles être dévoilées et tomber entre les mains de tierces personnes qui pourraient en tirer profit. Plus les objets seront interconnectés, plus les failles seront nombreuses et susceptibles d’être exploitées.
Le 7 mai 2014, le Commissariat à la Protection de la Vie privée du Canada a d’ailleurs publié un communiqué affirmant la nécessité de mettre en place un cadre législatif destiné à encadrer l’affluence de l’informatique des objets. Un constat est flagrant, à force d’être dans une course à la technologie, on tend à en délaisser les mesures de sécurité.
This content has been updated on February 17, 2015 at 22 h 07 min.