L'IA et la protection contre la prochaine génération de menaces à la vie privée

Protéger la confidentialité de vos propres données en 2021 est difficile et semble devenir de plus en plus difficile. Pour la plupart des gens, apprendre à utiliser une nouvelle technologie n’est pas facile, et s’adapter aux changements continus des produits et services rend la tâche plus complexe. Avec l’évolution rapide des risques en matière de sécurité et de confidentialité, les menaces à la confidentialité sont toujours plus nombreuses que ce que les consommateurs individuels peuvent suivre.

Vous connaissez probablement très bien les menaces les plus courantes qui mettent vos données en danger, telles que l’utilisation de mots de passe non sécurisés, le partage de mots de passe et la non-installation des mises à jour de sécurité requises sur vos appareils. De mauvaises pratiques de confidentialité et une sécurité inadéquate dans les applications en ligne constituent un risque supplémentaire, quelles que soient les mesures que vous prenez pour vous protéger.

Mais il existe de nombreux autres risques pour la vie privée qui vont au-delà de ces cas typiques. Voici quelques exemples de menaces à la vie privée plus subtiles auxquelles vous ne pensez peut-être pas régulièrement :

Géolocalisation. Lorsque vous partagez une photo depuis votre smartphone, que partagez-vous réellement ? Vous ne le réalisez peut-être pas, mais les smartphones enregistrent des métadonnées détaillées sur votre appareil et votre image dans chaque fichier JPEG, y compris les coordonnées GPS précises de l’endroit où la photo a été prise. Lorsque vous partagez ce fichier JPEG avec d’autres personnes ou que vous le téléchargez, vous partagez également ces métadonnées (c’est ainsi que les plateformes de médias sociaux peuvent automatiquement classer les photos par heure et par lieu). Si vous partagez régulièrement des photos, vous pouvez partager efficacement une trace détaillée de vos mouvements. Les forces de l’ordre utilisent régulièrement des métadonnées d’images pour localiser des criminels sans méfiance . Bien que la plupart des principales plateformes sociales suppriment les métadonnées des photos téléchargées, il arrive parfois qu'un défaut ou une lacune sur leur site rende ces métadonnées accessibles .

Risques à haute résolution. Les appareils photo numériques d'aujourd'hui offrent une qualité d'image incroyable, de sorte que même les photos amateurs peuvent être fantastiques. Ces images très nettes et détaillées de plusieurs mégapixels présentent toutefois un inconvénient : elles peuvent révéler plus d’informations que prévu. Il est par exemple possible de profiter de cette haute résolution pour identifier des personnes proches qui ne sont pas sur la photo, à partir de leur reflet dans les yeux des sujets. Vous pouvez également détecter d'autres détails précis, comme du texte sur des documents confidentiels que quelqu'un transporte ou les empreintes digitales de quelqu'un , même à distance. Le même risque s’applique aux progrès de la fidélité des médias dans d’autres domaines. Les enregistrements audio de haute qualité provenant de microphones sensibles, tels que ceux des assistants personnels intelligents, peuvent capter des conversations privées qui ne sont pas censées être enregistrées. Vous pouvez même analyser les enregistrements audio des sons du clavier pour reconstituer ce qui a été tapé . À mesure que la qualité des capteurs et des appareils vidéo et audio augmente, ces risques vont se multiplier.

Van Eck Phreaking utilise un équipement spécialisé pour analyser les signaux électromagnétiques afin d'écouter les communications. Toute personne manipulant des informations hautement sensibles sera habituée à travailler dans des pièces sans fenêtres ou à l’intérieur d’une cage de Faraday où aucun appareil équipé de microphone n’est autorisé, en raison de techniques qui utilisent des émissions radio ou des microphones pour « surveiller » l’écran de votre ordinateur portable. Il existe des techniques analogues qui permettent d’utiliser un laser pour écouter une conversation à 500 mètres de distance , ou d’exfiltrer des données à l’aide de signaux ultrasoniques. Ce type de technologie peut également être utilisé à des fins bénéfiques (c'est ainsi que l' application Zoom détecte les appareils Zoom physiques dans la même pièce), mais bien sûr, elle peut être, et est, utilisée par des acteurs malveillants pour espionner les autres.

Grattage. Lorsque vous téléchargez des données dans une application en ligne, vous pouvez vous attendre à ce qu’elles y restent, à moins que quelqu’un qui vous connaît ne les copie intentionnellement ailleurs. Mais en réalité, des milliers de groupes récupèrent en permanence des données en ligne, pour diverses raisons, bonnes et mauvaises. Google analyse constamment le Web pour créer son index de recherche, mais il existe d'autres scrapers qui sont malveillants et utilisent des robots pour créer des attaques d'une telle ampleur qu'elles ne seraient pas possibles par des moyens manuels. Chez F5, nous constatons régulièrement que plus de 90 % de toutes les tentatives de connexion sur de nombreuses applications Web majeures, 24 heures sur 24, 7 jours sur 7, proviennent de robots cherchant à prendre le contrôle de comptes. Les robots sont également utilisés pour récupérer des images à partir de plateformes de médias sociaux, afin de créer ensuite de faux comptes supplémentaires qui semblent plausibles aux autres utilisateurs. C’est l’une des raisons pour lesquelles vous voyez autant de robots de médias sociaux avec les mêmes photos de profil. Si vous vous demandez si votre image sur les réseaux sociaux est utilisée par de faux comptes, vous pouvez effectuer une recherche d'image inversée et enquêter.

Risques de corrélation croisée. Des éléments individuels de données bénignes peuvent être corrélés pour révéler davantage d'informations sur vous que vous ne pourriez l'imaginer à partir des éléments eux-mêmes. Donner votre numéro de téléphone à une pharmacie pour économiser de l'argent peut sembler anodin, mais lorsque ce numéro est recherché sur des listes de marketing tierces, puis combiné à des listes divulguées d'inscriptions électorales , il peut désormais être utilisé pour identifier où vous vivez, comment vous votez, vos problèmes de santé , vos déplacements et avec qui vous communiquez sur les réseaux sociaux. Ce profil de vous peut ensuite également être revendu à plusieurs reprises. Il y a quelques années, AOL a publié ce qu’il pensait être un ensemble de données de demandes de recherche « anonymisées », mais en combinant des éléments d’informations personnelles identifiables (PII), certains utilisateurs de leur ensemble de données ont pu être identifiés .

Ce ne sont là que quelques exemples d’une liste toujours plus longue de menaces pour votre vie privée. C’est probablement beaucoup à traiter pour la plupart des gens. Et pourtant, l’IA et les technologies d’automatisation, entre les mains des cybercriminels et autres acteurs malveillants, aggravent de manière exponentielle ces menaces à la vie privée.

Comme l’illustre le scraping, des quantités massives de données peuvent être volées et réutilisées à grande vitesse à l’aide de robots sophistiqués. De même, les robots peuvent extraire des informations de géolocalisation de milliards de photos en ligne, et l’IA peut analyser rapidement ces ensembles de données pour détecter des modèles « intéressants », tels que des empreintes digitales ou des visages reconnus. On pense traditionnellement que le Van Eck Phreaking et les techniques similaires nécessitent une proximité physique, mais aujourd’hui, l’omniprésence des appareils IoT vulnérables rend possible une invasion à grande échelle de la vie privée à distance (pensez à The Dark Knight, lorsque Batman détourne tous les téléphones portables de Gotham pour émettre des rafales à haute fréquence afin d’effectuer une surveillance de masse de type radar pour trouver le Joker). Nos équipes de recherche en sécurité ont découvert que l’ensemble de l’espace IPv4 peut être automatiquement analysé à la recherche d’appareils vulnérables en quelques heures. Ils ont également découvert des caméras pour bébé connectées à Internet qui ont été compromises par l'automatisation et qui ont ensuite été utilisées pour parler aux enfants à leur domicile . Enfin, les systèmes d’apprentissage profond portent les risques de confidentialité liés aux corrélations croisées à un nouveau niveau, en identifiant des modèles que les humains ne trouveraient jamais par eux-mêmes. En bref, l’utilisation de l’automatisation et de l’IA, combinée aux problèmes de sécurité, crée des catégories entièrement nouvelles de menaces à la vie privée, qui peuvent ensuite être exploitées à l’échelle d’Internet.

Faire face à toutes ces menaces sur le long terme dépasse clairement les capacités et l’énergie de la plupart des consommateurs individuels. Alors, quelle est la solution ? Pour obtenir une réponse globale à l’échelle de la société, il incombe aux politiques et réglementations gouvernementales, ainsi qu’aux plateformes, produits et organisations, de nous assurer autant que possible notre sécurité , en utilisant la meilleure technologie de sécurité et de confidentialité disponible, qui intègre leurs propres capacités avancées d’IA et d’automatisation en notre nom. Au fil du temps, nous constatons que les consommateurs et les gouvernements demandent de plus en plus de comptes aux entreprises pour qu’elles agissent efficacement, et nous avons déjà vu des mesures punir les entreprises qui ne parviennent pas à se protéger contre ces menaces. Pendant ce temps, les entreprises comme Apple, qui abordent la conception de leurs produits en accordant la priorité à la confidentialité, sont à juste titre félicitées et récompensées.

Bien que la meilleure défense à long terme soit de lutter contre les menaces pesant sur la vie privée de manière systémique, nous devons également prendre nous-mêmes un certain nombre de mesures simples qui peuvent contribuer grandement à protéger notre propre vie privée, en particulier contre les risques les plus courants d’aujourd’hui. C’est pourquoi aujourd’hui, la Journée de la protection des données , est si importante et utile. C'est une excellente occasion pour tout le monde dans le monde de se rappeler les pratiques de base en matière de confidentialité qui peuvent produire de grands avantages, sans avoir à être un expert en confidentialité.