Avec son site www.jenesuispasunedata.fr, l’UFC-Que choisir a lancé le 25 janvier une campagne de sensibilisation pour aider les internautes à reprendre le contrôle de leurs données personnelles. La plateforme est pensée pour les informer sur leurs droits à l’accès, la modification et la suppression de leurs informations, de même qu’à obtenir des informations sur ce qui est fait de leurs données.
Le site fournit aussi une série de conseils de sobriété numérique. Le but : sensibiliser aux sommes énormes de données que les usagers du numérique laissent derrière eux et aider à les réduire. Le site propose aussi un outil qui redirige vers ceux des plus grosses plateformes sociales (LinkedIn, Facebook, TikTok, etc.) pour y télécharger les fichiers comprenant les données de l’utilisateur, puis en propose une analyse statistique – menée sur l’ordinateur de l’internaute, précise l’association au Monde, donc sans collecte.
Commentaires (43)
#1
Site non sécurisé, ok, je l’ouvre dans Application Guard et là il m’autorise HTTPS, la première chose que je vois, la mise en forme ne me donne pas envie de parcourir l’entièrement du site, c’est mal foutu et mal lisible, ensuite, je vois un deuxième problème que je vois souvent ailleurs : Aucune modélisation des menaces, à l’inverse, je vois de l’émotionnel, de la fantaisie et la justification que faire quelque chose est forcément bien, apporter des conseils pour de meilleurs pratiques est une bonne chose, encore que ses conseils peuvent devenir obsolètes, mais mon avis est que ce genre de site web surfe essentiellement sur l’image de marque et le marketing, bien sûr, les gens qui ne savent pas ce que c’est une modélisation des menaces seront facilement dupés.
#1.1
Le site n’est pas sécurisé ????
Et donc le conseil de faire attention aux données qu’on laisse sur le net peut devenir obsolète ? Quand et pourquoi pourrait-il devenir obsolète ?
#2
C’est quoi ce site ? -_-
La mise en page est terrible, on dirait une mauvaise pub pour un produit miracle…
Et le trip de donner toutes ses données privées pour les faire analyser pour voir ce que Instagram ou autre à comme données sur vous, je trouve ça assez ironique
#2.1
Je suis d’accord que l’effet de surprise est là en plus d’être peu conforme à nos habitudes.
En revanche le but est de “traumatiser” Michu. Nous, lecteurs de NXI sommes déjà au courant de ça, du pillage de nos vie privées à des fins d’espionnages (que ce soit aussi bien pour la pub ou des institutions étatiques étrangères). En revanche, le Michu n’a aucune conscience de ces enjeux (enfin que superficielle, souvent adoucit et romantisé par les différents JT de 20h). Là, tout le design est pensé pour “traumatiser” le Michu est lui faire (essayer de) prendre conscience que c’est pas anodin en accentuant le coté Big Brother (même si Michu ne comprends pas l’anglais.)
Sur le dernier point de fournir nos données privés pour une analyse faite par UFC, c’est assez cocasse. Mais de 1. UFC joue une partie de sa réputation en cas de leak 2. Michu n’a pas le niveau requis (ni la classe requise [en terme RPG]) pour utiliser un ordinateur. Pour moi, c’est un bien pour un mal en considérant que ça peut faire prendre conscience de ce problème à des Michus même si en pratique ça va durer que quelques minutes et ça sera oublié.
A noter que cette initiative a été diffusé sur le JT de Fr3.
#2.2
Sur ton dernier point “fournir nos données privées”, j’ai eu un doute en allant sur le site, mais comme indiqué dans la brève :
Cette information aurait dû être précisée sur leur site.
Je ne l’avais pas remarqué comme toi à la première lecture de la brève et je l’avais déduite à la lecture de leur page plutôt bien faite et qui ne mentionnait pas un traitement des données personnelles analysées. J’en avais déduit que le traitement devait être local à l’ordinateur.
#2.4
Ah ouep, j’avais pas vu
Merci pour la précision. J’allais justement analyser les scripts en question pendant la réunion.
#2.3
Oui, le site est moche à souhait.
#3
Pourquoi data et pas donnée, drôle d’idée.
Faites attention à vos yeux en allant voir le site, ça pique !
#4
Plutôt sympa, ce site. Et une très bonne initiative de mettre ce sujet sur le devant de la scène. Merci pour l’info.
#5
Si la seule chose qui te vient à l’idée concernant ce site est cette remarque c’est que tu n’es pas le cœur de cible.
PS: les gouts et les couleurs sont personnels. A priori tu as donc les yeux plutôt sensibles.
#5.1
Bah faut avouer quand même que la mise en page est pas terrible, un scroll sans fin, des polices de la taille de la moitié de l’écran, du rouge 255.0.0…
#6
Le lien dans l’article est vers la version http, mais on est normalement redirigé vers la version https (en tout cas, c’est le cas avec Firefox).
#7
Le scroll sans fin c’est la norme maintenant, notamment pour les mobiles, or la majorité des consultations de site sont dessus, donc pas le choix. Oui, sur ordinateur c’est pas terrible, mais “Internet” va vers ça. (c’est un site “basique” sur Worpress).
#8
L’initiative me semble utile, mais quand même, reprendre le contrôle de ses données à partir d’un site branché sur googleapis.com, ça ne me parait pas très cohérent comme discours.
#9
Si j’ai bien compris, le site ne reçoit pas les données, ils indiquent comment les récupérer et ensuite le traitement est local pour avoir les statistiques.
#10
C’est bien que l’UFC fasse ce genre de sites. Cela devrait être la CNIL qui devrait simplifier le dépôt de plainte (avec le remplissage auto quand on saisit les premières infos). Ok on ne pourrait pas avoir 100% des sociétés (quoique), mais pour celles qui reviennent souvent dans les plaintes, les infos à saisir sont toujours les mêmes.
En tout cas tout ce qui va dans le sens de l’information des gens est une bonne chose, peu importe la forme (OSEF que le site soit moche).
#11
En lisant les commentaires j’ai décidé de voir moi même, j’ai cliqué, le résultat est effrayant.
Je pense que sensibiliser l’internaute ainsi risque d’être peu efficace. Qui n’aura pas pour réflexe naturel de fuir en voyant ça ?
Par contre la police est tellement gigantesque que même mon voisin pourrait le lire sans lunettes (seul point positif que j’ai trouvé).
#12
ironique cette campagne, après avoir forcé sur le linky qui n’a guère d’autre intérêt que de transformer Enedis (EDF) en opérateur de données et de surveillance.
#13
La majorité de ceux qui consultent les sites sur un smartphone.
La majorité de ceux qui privilégient le fond sur la forme
Tous ceux qui soutiennent les actions de l’UFC Que Choisir.
#14
Ouaip et faut faire gaffe: la 5G est intégré dans le vaccin.
#15
C’est fou la différence entre une consultation sur PC et sur smartphone pour ce site ! J’ai testé après ta remarque est il est tout à fait correct sur smartphone.
Le fond sur la exploitation des données est assez bon. Je verrai ce que donne leur outil d’analyse quand j’aurai récupéré celles que Google possède sur moi. Cela me permettra de voir si j’ai bien tout réglé chez eux pour qu’ils n’aient quasiment rien.
Par contre, d’accord avec QTrEIX, la partie conseils (Je me protège) est assez mauvaise, avec une partie obsolète en effet.
J’aime plutôt UFC Que Choisir, mais je les juge sans concession s’il font des trucs nuls.
#16
Dans le fond de la scène j’ai cru entendre : « Qui pouvait se prévaloir de son TURPE, qui ? »
#17
Et pourquoi “une” et pas “des”?
#17.1
C’est vrai, s’il avait écrit datum, il aurait pu proposer donnée au singulier.
#17.2
Le titre du site (et même son adresse) c’est “je ne suis pas une data”, j’ai pensé que ça se traduirait par “une donnée”. Je m’a gouré ?
#17.3
data est le pluriel de datum en latin. Je ne voulais rien dire de plus.
#18
Ce genre de sensibilisation ne fonctionne pas, outre la mise en forme terrible, l’utilisateur risque d’être rebuté par l’image alarmiste et politique qu’elle renvoie, il est beaucoup plus sain d’avoir une approche pratique de la sécurité / confidentialité, établissez un modèle de menace claire qui fonctionne dans votre quotidien et ne supposez pas que les pratiques des uns seront forcément bonnes pour vous, vous devez faire vos propres recherches, et ce n’est pas en lisant des slogans sérieusement teintés de sophisme et de FUD que vous allez le faire.
Lisez plutôt ses liens :
https://privsec.dev/posts/knowledge/threat-modeling/
https://www.privacyguides.org/basics/threat-modeling/
https://opsec101.org/
#18.1
“Image alarmite et politique”
“sophisme et FUD”
Rien que cela ? je suis déçu.
Ce qui est amusant c’est que tu affirmes que ce genre de sensibilisation ne fonctionnera pas et à la place tu proposes un outil tellement technique que 90% des utilisateurs n’y comprendront rien.
Pour répondre à chacune des questions de ton “système”, il faut déjà comprendre un minimum comment tout cela fonctionne, ce qui est collecté et comment.
Comment veux-tu imaginer un danger sur quelque chose dont tu ne connais rien ?
As-tu seulement du produire ou écrire un rapport ou un document à destination d’un public complètement néophyte ?
Vu ce que tu proposes j’en doute.
Pour finir, il n’y a pas d’image alarmiste.
Toute donnée personnelle envoyée/partagée/stockée dans le net est une donnée potentiellement publique. Elle ne nous appartient plus.
Outre les données qu’on partage sciemment, il y a les données que les acteurs du net collectent sur nous. Ces données aussi sont potentiellement publiques.
Le but de ce site est donc simplement
A partir du moment où on est conscient de cela, le site nous accompagne dans les démarches auprès des DPO des acteurs.
Il n’y a rien d’alarmant ou de FUD la dedans.
#18.2
Cela me rappelle l’attitude facétieuse qu’avait eu Delahouse lors d’une interview au sujet de l’hygiène numérique (de mémoire c’était déjà lors d’une campagne d’une association de consommateur) et de rappeller, dans les circonstances de visionnages d’un JT, que le problème était dejà éteint puisqu’on en parlait à la TV.
Là au fond, la question c’est un peu toujours la même : pourquoi est-ce si paradoxal d’ester sur des données privées alors que les premières accessibles sont déjà « perdues » car elles étaient publiques ?
On voit bien me semble-t-il, comme avec le procès de Reflets, qu’il y a un problème d’aiguillage bien avant de contester des systèmes ou des peurs qui n’existent plus.
#19
Après récupération, j’ai passé les 2 fichiers zip récupérés à l’outil qui semble rechercher des informations seulement dans l’utilisation de Maps.
Il cherche à afficher les lieux visités, les lieux supposés, les trajets, l’historique et le tracking WiFi
Comme j’ai désactivé tout enregistrement de position, il ne m’affiche rien.
Mais j’attendais à ce qu’il analyse tout le reste des informations que j’ai récupérées dans ces zip et ça, il ne l’a pas fait. Je suis déçu.
En parcourant tout à la main, je vois que je me suis plutôt bien débrouillé pour que Google en connaisse un minimum sur moi.
Cela m’a permis d’effacer quelques données qu’il n’était plus utile de stocker chez eux, mais pas grand chose.
Ce n’est pas avec moi que Google va gagner de l’argent…
#19.1
Comment être sûr que Google t’a bien fourni l’ensemble des données te concernant qu’il possède ? Et comment être sûr qu’il efface, et donc n’utilise plus, les données que tu lui demandes d’effacer ?
On pourrait imaginer que c’est une IA qui répond à tes demandes de communication et d’effacement des données, IA qui construirait sa réponse pour essayer de te donner un sentiment de satisfaction en se basant sur les données de profilage déjà acquises. Et ensuite l’IA ajuste l’affichage des données te concernant pour te faire croire que les suppressions demandées ont été effectuées.
Les demandes de communication et de suppression venant ainsi à leur tour enrichir ton profilage.
#19.2
On ne peut pas être sûr.
Par contre, ce dont on peut être sûr, c’est que s’ils se font prendre à faire ça, ça risque de se passer très mal pour eux.
Tu me poses cette question mais toi, est- ce que tu penses réellement qu’ils font ça ?
Est-ce que par conséquent tu penses que le RGPD est inutile ?
#19.3
Je ne sais pas s’ils le font, mais je pense qu’ils en sont capables et qu’ils y ont pensé. Après c’est une affaire de jugement moral, d’évaluation des moyens nécessaires et du risque.
Non je pense que le RGPD est utile parce que les gens ont en général peur de la loi et n’aiment pas que la justice vienne fouiller dans leurs affaire. Et je crois qu’on peut aussi compter sur l’intelligence de gens comme Max Schrems pour tirer tout le parti possible de cette réglementation au profit de la protection de la vie privée.
D’autre part tricher reposant sur le secret et la complicité de nombreuses personnes, le risque que l’info sorte un jour ou l’autre est grand. Cela dit prouver que des données ne sont pas effacées volontairement, cela me parait presque aussi difficile que prouver qu’elles l’ont été. Il ne suffit pas qu’un lanceur d’alerte sorte un exemple, ça peut toujours être un bug.
#19.4
Le RGPD se fout que ça soit un bug ou volontaire.
#20
faut se dire que c’est un site de vulgarisation (bien documenté tout de même pour de la vulgarisation), et qu’ils ne vendent rien donc leur budget n’est pas terrible. honnêtement lorsque ce n’est pas de l’informatique je trouve que les articles sont plutôt bien faits. évidement tous les spécialistes de chaque article seront déçus mais on ne peut pas être bon en tout. en tant que lecteur je ne suis pas bon en tout donc ça me va.
#21
DNS_PROBE_FINISHED_NXDOMAIN
#22
Les gens qui veulent réduire les données collectés à leurs sujet doivent adopter un modèle de menace, pour cela il faut définir la menace et l’erreur courante est de cibler les grandes entreprises technologiques, le premier lien explique pourquoi ça ne fonctionne pas. Une autre erreur courante est de supposer que la télémétrie des fournisseurs de services est invasive, sans expliquer ce que la télémétrie collecte, c’est du sophisme. Sans un modèle de menace, tu prends des mesures sans comprendre pourquoi, pire, tu fini dans la paranoïa sur le long terme.
Les acteurs de le menace ne sont pas statiques, ils s’adaptent au modification que tu apportes, en exemples : bloquer les cookies tiers pour tous les sites encourage l’adoption de la prise de l’empreinte numérique qui n’offre aucun contrôle, essayer d’usurper l’empreinte numérique ne fonctionne pas parce qu’elle est toujours identifiable dans l’API JS, resist.fingerprint dans Firefox ne fonctionne pas non plus, plus tu apportes des changements à des paramètres obscures, plus tu te démarques et plus tu réduis la confidentialité en apportant plus de moyens de te suivre, effacer les données des sites à la fermeture permet par contre de réduire le suivi persistant.
Le théâtre de la sécurité / vie privée encourage les mauvaises choses en donnant un faux sentiment de réussite, au lieu de définir un modèle de menace claire, il y a juste de la fantaisie et la justification que faire quelque chose est mieux que de ne rien faire.
Les recommandations générale doivent être solides, vérifiés par des pairs et donner des sources, les insécurités de Madaidan est un bon exemple, il explique que c’est général et qu’il ne prends pas en compte le modèle de menace de l’utilisateur, malgré cela, ses recommandations sont objectives, vérifiés et méritent d’être utilisé dans un modèle de menace. Les recommandations et conseils par le site posté par NIX contiennent beaucoup d’éléments obsolètes, trompeurs et dangereux, par exemple, il n’est pas utile de changer son mot de passe tous les X mois, un Antivirus n’assure pas la sécurité comme le blocage de quelques trackers n’assure pas de réduire le suivi, énumérer la méchanceté ne fonctionne pas, c’est au mieux un palliatif qui réduit faiblement l’exposition sur l’instant T, l’Antivirus est aussi complètement inefficace sur Android et iOS en raison de la conception de sécurité de base, Android est soumis aux politiques SELinux qui consiste à un contrôle approprié que ce peuvent faire chaque applications avec le principe du moindre privilège, chaque applications est confiné dans son propre processus et n’ont pas accès aux données du système, comme l’Antivirus est considéré comme une application, elle n’a pas les privilèges nécessaires, même si elle les avait, elle ne ferait rien pour améliorer la sécurité.
Un autre lien que j’apprécie, sur les deux types de vie privée en ligne : https://seirdy.one/posts/2022/06/25/two-types-of-privacy/
Voici un exemple sans modélisation de la menace :
Jacques : J’utilise le même mot de passe pour tous les sites parce que c’est facile à mémoriser.
Roger : Utilise un gestionnaire qui mémorisera chaque mot de passe unique à ta place.
Jacques : Ok je vais utilisé un gestionnaire très médiatisé comme LastPass, sauf que mince, leurs serveurs ont subis une fuite massive de données et LastPass n’a pas été honnête avec ses clients.
Roger : Ok alors utilises un gestionnaire open-source et audité comme Bitwarden (leurs base de données peut toujours fuité).
Jacques : Ok, mais mince j’ai oublié mon mot de passe maître parce que je n’ai pas eu le réflexe de le noter et l’enregistrer.
Roger : Ok alors note toi-les sur un calepin.
Jacques : Oui mais ma maison a pris feu et mon calpin a brulé.
Etc etc…. On peut allez loin.
PS : Je n’ai plus le lien, mais un jour je suis tombé sur un article de blogue très intéressant, sur le risque de stocker toutes ses données privées sur son outil numérique, même si elles sont stockés de façon sécurisés, le mec a justement été victime d’un incendie, son smartphone a grillé et comme il n’avait pas de sauvegardes, il a tout perdu, ses mots de passes etc.
#22.1
Ce qu’on pouvait résumer par :
Présentez plume ou chéquier !
#23
#24
Si on fait les choses à moitié aussi…
#25
L’importance de faire des sauvegardes, surtout si ça concerne son taf et autres documents importants.
#26
Et pour financer cette campagne, l’UFC-Que Choisir n’a pas seulement fait appel aux dons : « Les fonds viennent également des procès que l’on a gagnés contre Google, Uber, Facebook pour la collecte et l’exploitation abusives des données personnelles des utilisateurs », se réjouit le spécialiste.
Lu sur 20minutes.
J’aime bien le concept d’utiliser l’argent gagné contre les plateformes pour leur nuire un peu plus.
#27
Tu supposes pourtant que tout le monde doit établir un modèle de menace avant de faire quoique ce soit et que tout autre pratique est non-fonctionnelle. Sauf que dans la pratique, il est tout à fait possible de prendre des habitudes plus saines pour son hygiène numérique, sans tomber de l’exemple que tu pousses à l’extrême. On peut trouver les mêmes exemples hors du monde numérique et dans la vie de tous les jours. Un modèle de menace c’est très bien, mais c’est pas une étape nécessaire pour commencer à prendre des petites actions qui peuvent faire une bonne différence.