Des services trop gourmands en données personnelles

Quelles informations personnelles fournissons-nous exactement sur le net à l’heure du cloud? Souvent beaucoup plus que nous le souhaitons et que nous l’imaginons. C’est ce que révèlent des chercheurs du Laboratoire de systèmes d’information répartis de l’EPFL (LSIR), qui ont développé un outil, PrivySeal, permettant de savoir avec précision quelles sont les données auxquelles on donne accès lorsqu’on accepte les conditions d’utilisation de différentes applications disponibles sur la toile.

Des sites aussi populaires que Google Drive, Dropbox, OneDrive ont en général des règles de confidentialité strictes et bien établies. Le hic, c’est qu’ils servent bien souvent de plateforme à de nombreuses autres applications annexes, qui fournissent des services bien spécifiques dans le cloud, tels que le traitement d’images, l’archivage ou le stockage de documents, la recherche ou l’analyse de contenu, et bien d’autres.

«Nous souhaitons permettre aux utilisateurs d’être plus conscients des risques qu’ils prennent lorsqu’ils utilisent ce type de services et leur offrir des moyens de mieux les mesurer», décrit Hamza Harkous, doctorant au LSIR et chercheur principal du projet.

Où, quand et avec qui?

Le «ok» que l’on accorde machinalement à une app’ pour retoucher une photo, par exemple, peut ouvrir les portes de la totalité de sa banque d’images, et donc également des informations temporelles et de localisation parfois très détaillées qui accompagnent chaque cliché. Il devient alors potentiellement possible de savoir où et avec qui on a pris un verre mardi à 18h ou été en vacances l’été dernier. Accepter sans y prendre garde les conditions d’utilisation d’un service de classement de documents peut également donner accès à certains de ses dossiers. Un tiers peut ainsi voir quels sont ses interlocuteurs privilégiés, les grands thèmes abordés dans ces échanges, ou même décrypter ses opinions sur certains sujets en analysant les mots qui reviennent le plus fréquemment.

«Pour pouvoir bénéficier de ces outils, les utilisateurs n’ont parfois pas d’autres choix que donner accès à des informations supplémentaires et sacrifier ainsi un peu de leur vie privée, explique Rameez Rahman, chercheur au LSIR qui a supervisé le projet. Or, les permissions requises couvrent souvent un champ de données beaucoup plus large que ce que requière réellement le fonctionnement de la prestation».

Attention aux surprises!

Pour avoir une meilleure idée de l’ampleur du problème, les chercheurs ont analysé plus de septante applications annexes, proposées sur deux plateformes actives sur le cloud: Google Drive et Dropbox. Les résultats ont montré que près de la moitié d’entre elles posent ce type de problèmes de confidentialité.

Le site développé par les chercheurs du LSIR est dès maintenant accessible au public sur privyseal.epfl.ch. Il guide le visiteur de manière personnalisée, claire et didactique, lui donnant ainsi la possibilité de connaître ce qu’impliquent précisément les autorisations accordées aux applications qu’il utilise. Le résultat est ensuite affiché sous forme graphique, par exemple par des cercles de différentes dimensions indiquant quels sont les personnes, lieux ou entreprises avec lesquels on a le plus de contacts dans son quotidien. Le site informe également sur les exactes conséquences de différents modèles de demandes de permission. Parmi les données accessibles, on peut encore découvrir quelles sont celles dont la prestation a véritablement besoin pour fonctionner et celles qui sont superflues.

PrivySeal, un projet de Hamza Harkous, Rameez Rahman et Bojan Karlas, du Laboratoire de systèmes d’information répartis de l’EPFL.