Qu'est-ce que les métadonnées et pourquoi vous devriez vous en soucier ? (traduction)

Nous tuons des gens à partir de métadonnées ", a déclaré le général Michael Hayden, ancien directeur de la NSA et de la CIA, lors d’un débat en 2014. C’était, en effet, choquant, mais pas grand-chose ne semble avoir changé en 4 ans. Bien que nous connaissions l’importance des métadonnées, nous n’y prêtons pas assez d’attention et nous nous faisons facilement piéger par les politiciens qui disent : " Relax, ce ne sont que de vieilles métadonnées ". Alors qu’est-ce que c’est et pourquoi vous devriez vous en soucier ?

Bien que le terme " métadonnées " ait été inventé dans les années 60, le grand public s’y est familiarisé après les fuites de Snowden. En 2014, dans son exposé sur la TED, Snowden a expliqué que les métadonnées pourraient révéler " à qui vous parlez quand vous leur parlez, où vous voyagez ".

Les métadonnées sont précieuses, mais elles ne reçoivent pas l’attention publique qu’elles méritent. Peut-être parce que les fonctionnaires du gouvernement font de leur mieux pour nous empêcher de nous en soucier. Ou peut-être en raison des réglementations légales concernant la surveillance - elles sont souvent vagues et ne fournissent pas suffisamment de détails lorsque les citoyens sont soumis à la surveillance.

Dans cet article, je vous expliquerai ce qu’est une métadonnée, ce qu’elle peut dire sur vous.

Métadonnées ? Meta… quoi ?

Les métadonnées font partie de la vie quotidienne. Chaque fichier que vous envoyez ou recevez contient des métadonnées. Il révèle ce que peuvent contenir les données : il s’agit d’établir des liens et de fournir un contexte, de montrer les relations et d’aider à les comprendre.

Les métadonnées répondent aux questions :

Qui ?
Quoi ?
Où ?
Quand ?
Pourquoi ?

Prenons l’emballage d’une tablette de chocolat - l’information que vous y voyez, comme le nom de la marque, le code à barres, etc. est une métadonnée. Lorsque vous écoutez une chanson, le titre, le nom de l’artiste, les mots-clés, les tags, la fréquence d’écoute sont aussi des métadonnées. Il aide les plates-formes de streaming musical à vous fournir des recommandations : lorsque vous regardez Youtube et que vous laissez des vidéos en lecture automatique, les métadonnées de vos choix précédents vous aident à déterminer ce qu’il vous faut regarder ensuite.

Les métadonnées dans les médias sociaux sont utilisées pour regrouper les messages, suivre les intérêts des utilisateurs, les relations entre l’utilisateur et les données, aider à construire le contexte autour des données. C’est l’une des caractéristiques les plus utiles des métadonnées, car elle détermine la raison pour laquelle les données ont été créées et utilisées.

Imaginez que vous envoyez une photo à votre ami. Disons que c’est un selfie. Les données révèlent le contenu du selfie, tandis que les métadonnées peuvent contenir les données de localisation, de temps et même le temps d’exposition de l’appareil.

Ce que les métadonnées peuvent révéler sur nous

Bref, presque tout. Les détails personnels les plus intimes à notre sujet - nos opinions politiques, l’information sur la santé, les finances, les relations familiales, etc.

Quelques exemples :

Deepak Jagdish et Daniel Smilkov, deux étudiants diplômés du MIT Media Lab, ont mis au point un outil appelé " Immersion " qui a été conçu pour donner un sens aux métadonnées des e-mails. Ce n’est qu’en analysant les champs From, To, Cc et Timestamp des courriels que les chercheurs ont pu faire des découvertes surprenantes sur leurs interactions sociales, leurs relations, leur vie sociale et même leur cycle de sommeil.

Par exemple, à combien de personnes ils se sont présentés pendant les périodes données, quand ils ont eu des moments difficiles dans leur vie personnelle, quand ils ont été les plus productifs pendant la journée, etc.

La longue portée de la surveillance des métadonnées téléphoniques a été démontrée par des étudiants de l’Université de Stanford qui ont découvert que la collection massive de relevés téléphoniques de la NSA peut fournir beaucoup plus d’informations sur la vie privée des gens que le gouvernement américain ne le prétend. En obtenant simplement le numéro de téléphone de l’appelant et du destinataire, le numéro de série particulier des téléphones en cause, l’heure et la durée des appels et peut-être l’emplacement de chaque personne au moment de l’appel, les chercheurs ont pu isoler les données à une identité particulière.

Des chercheurs, Beatrice Perez, Mirco Musolesi et Gianluca Stringhini, de l’University College London et de l’Alan Turing Institute, ont utilisé Twitter comme étude de cas pour quantifier le caractère unique de l’association entre métadonnées et identité des utilisateurs. Ils ont écrit : " Nous analysons les champs atomiques dans les métadonnées et nous les combinons systématiquement pour tenter de classer les nouveaux tweets comme appartenant à un compte en utilisant différents algorithmes d’apprentissage machine d’une complexité croissante. Nous démontrons que grâce à l’application d’un algorithme d’apprentissage contrôlé, nous sommes en mesure d’identifier tout utilisateur dans un groupe de 10 000 avec une précision d’environ 96,7%. Selon les auteurs, les mêmes techniques peuvent être appliquées à la plupart des plateformes de médias sociaux.

Vos métadonnées sont si importantes que les robots des médias sociaux les utiliseront pour paraître " plus humains ", donc plus difficiles à détecter. Un nouveau rapport ‹ La manipulation des médias sociaux › par Data & Society, affirme : "Des manipulateurs sont de plus en plus habiles à éviter les efforts de modération basés sur ces catégories de métadonnées en utilisant les fonctionnalités de la plate-forme de manière inattendue ". Cela signifie que votre activité sur les plateformes sociales (likes, retweets, favoris, commentaires, réactions, etc.) est une forme de métadonnées, qui peut être utilisée par des manipulateurs pour créer des robots qui peuvent imiter votre comportement et paraître « réels ». Ces robots sont difficiles à détecter (soit par des humains, soit par des filtres de plate-forme) et peuvent être utilisés pour de fausses nouvelles, du spam et d’autres activités malveillantes.

Des chercheurs de Grèce et des États-Unis ont exploré l’importance des (méta)données de localisation publique. Ils ont conclu : « L’exposition des données de localisation constitue un risque important pour la vie privée des utilisateurs, car elle peut entraîner la désanonymisation, la déductions d’informations sensibles et même des menaces physiques ».

Un gouvernement totalitaire ne suit pas toujours le contenu des communications entre les suspects potentiels de l’opposition, mais leurs relations - qui est ami avec qui. Ce n’est pas nouveau non plus. Pendant l’ère soviétique, les dissidents qui ont fui aux États-Unis ont souvent pensé à des moyens de communiquer avec leur famille en URSS sans écrire leurs noms et adresses ( ou leurs métadonnées) sur les enveloppes qu’ils avaient envoyées.

Au fur et à mesure que la technologie de surveillance s’améliore et que nos téléphones servent de pisteurs GPS, d’éventuels enregistreurs vocaux et vidéo que nous emportons avec nous tout le temps, des mouchards recueillent chaque jour des quantités croissantes de métadonnées. En tant qu’expert en sécurité, Bruce Schneier l’a écrit dans son livre " Data and Goliath " : " Votre téléphone cellulaire suit votre lieu de résidence et votre lieu de travail. Il indique où vous aimez passer vos week-ends et vos soirées. Il permet de savoir combien de fois vous allez à l’église (et quelle église), combien de temps vous passez dans un bar, et si vous roulez à toute allure. Il trace - puisqu’il connaît tous les autres téléphones de votre région - avec qui vous passez vos journées, avec qui vous déjeunez, et avec qui vous couchez.

Ainsi, nos profils personnels sont de plus en plus détaillés et approfondis. Alors pourquoi les métadonnées n’attirent-elles toujours pas l’attention qu’elles méritent ?

Les sites Web sécurisés ne sécurisent pas les métadonnées

Vous avez peut-être entendu dire que HTTPS indique des sites Web sécurisés. Un fait un peu moins connu est que même si HTTPS chiffre votre contenu, il révèle des métadonnées. Pour expliquer cela, je dois donner un peu d’histoire parce que cela peut être compliqué à comprendre pour les moins experts en technologie.

En 1989, le physicien Tim Berners-Lee du CERN a inventé le World Wide Web (ou WWW) et a commencé le développement du protocole de transfert hypertexte (ou HTTP), qui est la base de la communication de données sur le Web. Cependant, le problème avec HTTP est que son contenu n’est pas chiffré, donc pas sécurisé. Il peut être relativement facilement exploité lors d’attaques man in the middle. Par conséquent, vos informations sensibles (courriels, mots de passe, détails de carte de crédit, etc.) peuvent être volées.

Le ‹ s › en HTTPS signifie ‹ sécurisé ›. Ce protocole a été conçu pour améliorer la protection de la vie privée sur Internet lors de l’envoi de données personnelles sensibles. Les attaques man in the middle sont toujours possibles, mais elles sont beaucoup plus difficiles à réaliser. HTTPS est maintenant largement utilisé à travers l’Internet - comme par Google, Facebook ou Twitter, et bien sûr - notre site Web. Pour vérifier si le site Web que vous visitez est sécurisé, consultez le champ URL.

Pour réaliser la conversion HTTP en HTTPS, le propriétaire du site Web doit acheter les certificats de protocole Secure Sockets Layer (ou SSL) ou Transport Layer Security (ou TLS) plus sûrs. Ce protocole prouve que le site Web est légitime et qu’il est ce qu’il prétend être.

Lorsque vous vous rendez sur le site Web de votre banque, vous devez vous assurer que vous accédez à ce à quoi vous essayez d’accéder. Par exemple, qu’il ne s’agit pas d’un faux site créé par des escrocs pour " hameçonner " vos identifiants.

Pour être plus clair, imaginez que vous envoyez une carte postale - n’importe qui peut voir ce que vous avez écrit sur cette carte postale. Cela peut être une analogie pour HTTP. Si vous le mettez dans une enveloppe, les autres peuvent voir l’enveloppe, mais ne peuvent que deviner ce qu’elle contient - c’est du HTTPS.

Cela signifie que le contenu de vos communications est sécurisé, mais pas les métadonnées. Votre FAI ou les fouineurs tiers peuvent voir à quels sites Web vous accédez.

Cependant, il semble que cela pourrait changer bientôt. Récemment Mozilla a annoncé que Firefox Nightly supporte désormais le cryptage de l’extension TLS Server Name Indication (ou SNI). Cela signifie que les attaquants (et votre FAI) ne seront pas en mesure de surveiller les sites Web auxquels vous accédez, c’est-à-dire votre historique de navigation. Actuellement, cela ne fonctionne que pour les sites hébergés par Cloudflare, mais ce n’est qu’une question de temps pour que d’autres fournisseurs suivent cet exemple.

L’Amérique - le foyer d’une surveillance généralisée des métadonnées

La National Security Agency, NSA, est peut-être l’espion de métadonnées le plus intrusif et le plus créatif que nous connaissions.

En 2016, Snowden a divulgué le bulletin d’information de la NSA, soulignant que les métadonnées étaient l’outil le plus utile.

Divers changements politiques, sociaux et technologiques ont permis à la NSA d’augmenter le niveau de collecte des métadonnées. Bien que la loi américaine sur la liberté de 2015 ait limité la NSA à la collecte de relevés téléphoniques et de contacts de personnes susceptibles d’avoir des liens avec le terrorisme, l’Agence a révélé en mai une augmentation massive du nombre de métadonnées d’appels collectées (dans le rapport intitulé " relevés détaillés des appels ") - de 151 millions en 2016 à plus de 534 millions en 2017. Malgré cela, il n’y avait que 40 personnes soupçonnées de terrorisme (moins qu’en 2016).

Fin juin, la NSA a publié une déclaration publique annonçant qu’elle avait commencé à purger les dossiers parce que des fonctionnaires avaient découvert des irrégularités techniques.

De plus, un débat est en cours pour savoir si la collecte de métadonnées peut être considérée comme une intrusion dans le domicile d’une personne, ce qui va à l’encontre du quatrième amendement, qui affirme de façon générale que le droit à la vie privée des Américains est fondamental pour la liberté individuelle, en interdisant les fouilles, perquisitions et saisies déraisonnables.

Pourtant, nous entendons trop souvent des représentants du gouvernement américain et des politiciens défendre de telles actions : Relax, ce ne sont que de vieilles métadonnées. Tu n’as pas à t’inquiéter pour ça. Continuez ce que vous faites. Bien sûr, ne pas toucher au fait que les métadonnées peuvent révéler même les informations les plus personnelles et les plus intimes sur vous et sur tous ceux à qui vous communiquez.

Malheureusement, de tels efforts de la part des fonctionnaires du gouvernement pour tromper les citoyens semblent porter fruit. Laura Finley et Luigi Esposito de l’Université de Barry ont examiné le " couplage de la NSA avec de grandes entreprises de télécommunications pour la surveillance de masse des communications des Américains ". Ils ont conclu qu’il s’agit d’une forme de crime d’entreprise d’État facilité par l’État. L’une des conclusions était que les Américains sont généralement apathiques à l’égard des actions de la NSA.

Cependant, le New York Times a rapporté récemment que la NSA a " mis fin à un programme controversé qui recueille des enregistrements téléphoniques et des sms nationaux ". La NSA a utilisé ces métadonnées pour surveiller qui a appelé qui et quand. L’assistant républicain principal du Congrès, Luke Murry, dans un épisode de l’épisode du podcast Lawfare, a déclaré que le programme, qui avait été mis en œuvre après les attaques du 11 septembre, n’a pas été utilisé depuis environ six mois.

En Europe : mieux vaut avoir une raison légitime d’enregistrer les données

Il y a cette soi-disant sagesse conventionnelle selon laquelle l’Europe protège mieux la vie privée de ses citoyens en ligne qu’aux États-Unis parce que l’UE a les réglementations les plus strictes en matière de protection des données.

En d’autres termes, dans l’UE, les entreprises peuvent enregistrer autant de données qu’il est absolument nécessaire pour leur activité. S’ils ont besoin d’enregistrer quelque chose qui n’est pas nécessaire pour fournir leurs services, ils devront très probablement obtenir le consentement de l’utilisateur.

En 2006, l’UE a adopté la directive sur la conservation des données qui impose aux fournisseurs de services de télécommunications de collecter « toutes sortes de métadonnées téléphoniques et Internet » et de les conserver pendant au moins six mois. Mais en 2014, un arrêt de la Cour de justice des Communautés européennes a déclaré la directive invalide.

Comme les métadonnées peuvent permettre de remonter jusqu’à une personne, elles sont définies dans le Règlement général sur la protection des données (RGPD) de l’UE, qui est entré en vigueur en mai dernier et dont l’article 4 stipule ce qui suit : « une personne physique identifiable est une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant tel qu’un nom, un numéro d’identification, une donnée de localisation, un identifiant en ligne ou à un ou plusieurs éléments spécifiques de son identité physique, physiologique, génétique, mentale, économique, culturelle ou sociale ».

Cela signifie que si les données que vous recueillez ne sont pas les métadonnées des trajectoires des étoiles dans l’espace, elles sont personnelles.

Cependant, les militants expriment souvent leurs préoccupations face à la montée de la surveillance en Europe. Le Royaume-Uni, la France et l’Allemagne ont adopté des lois permettant l’interception massive des communications.

Néanmoins, les données personnelles sont beaucoup plus privées dans l’UE qu’aux États-Unis ou dans d’autres pays. Par exemple :
En vertu de la loi australienne sur la conservation des données, entrée en vigueur en 2017, les métadonnées des communications mobiles et en ligne des Australiens sont collectées et conservées pendant au moins deux ans. Les organismes nationaux, tels que l’Organisation australienne du renseignement de sécurité (ASIO) et la Police fédérale australienne (AFP), peuvent obtenir l’autorisation d’accéder aux données.
Les métadonnées ont également fait l’objet de débats au Canada depuis que le Service canadien du renseignement de sécurité (SCRS) a été critiqué pour avoir retenu les métadonnées de télécommunications de personnes innocentes et avoir gardé leurs actions dans l’ignorance. Récemment, il a été annoncé que 70% des données ont déjà été détruites.

Je peux faire quelque chose ?

La mauvaise nouvelle, c’est qu’il n’y a pas de panacée, pas de bouton magique sur lequel vous pouvez appuyer et éviter de diffuser vos métadonnées dans toutes les directions. Sauf si, comme Henry David Thoreau, vous commencez une nouvelle vie dans les bois. Chaque action en ligne peut avoir une méthode pour minimiser les métadonnées.

Comme Magnus Steinberg l’a souligné dans son interview pour What Do Experts Say About Online Privacy in 2019, « C’est pourquoi il est important que les entreprises travaillant dans le domaine de la protection des données des utilisateurs investissent leur temps et leurs efforts dans la formation des personnes. Les informer de ce qui se passe ou de ce qui pourrait arriver à leurs renseignements personnels s’ils ne sont pas protégés. »

Voici quelques conseils de nos spécialistes :
Quand il s’agit de sites Web HTTPS, TLS fournit plus de sécurité dans la communication entre le serveur et le client, mais il y a une fuite du nom du site Web vers le FAI ou tout autre tiers au milieu en raison de la façon dont SNI fonctionne, donc pour s’assurer que personne ne fouine sur vous - un VPN peut être utilisé ;
Ne partagez pas trop. En fait, c’est une règle générale pour chaque situation. Chaque fois que vous mettez quelque chose sur Internet, il y reste pour toujours ;
Installez Linux avec diverses fonctions de confidentialité ;
Installez le système d’exploitation approuvé par Snowden - Qubes ;
Désactivez JavaScript ;
Désactivez le GPS lorsque vous n’en avez pas besoin.
source :