Depuis trois ans, nous avons fait le point sur les pertes, fuites et vols de données sensibles dans le monde… à grande échelle.

Aux États-Unis, les entreprises doivent déclarer les pertes, les vols de données personnelles. La presse a donc relaté qu’un ordinateur contenant les données personnelles (adresse, courriel, numéro de téléphone et de sécurité sociale) non cryptées de 800 000 personnes (américains, canadiens ou portoricains) qui avaient postulé chez GAP par téléphone entre juillet 2006 et juin 2007 a été volé dans le bureau d’un responsable du recrutement qui travaillait pour cette entreprise. Les services de recrutement de Monster.com ont par ailleurs admis – cinq jours après – que sa base de données centrale avec 1,6 millions de données sensibles avait été visitée par des hackers… et que 1,3 millions de données avaient été subtilisées. Les hackers ont tenté par de faux courriels d’obtenir des informations financières. Un Ukrainien, Maksym Yastremskiy, est finalement arrêté en Turquie et mis en prison pour trafic de données.

L’« Identity Theft Task Force » mise en place par le Président Bush pour lutter contre les vols d’identité, a proposé des mesures provisoires en septembre 2006 et soumet son rapport final début février. Elle veut que les États cessent d’utiliser systématiquement les numéros de sécurité sociale (SSN) et propose des normes nationales de sécurité pour ces données. En cas de vol ou de perte, l’information doit être obligatoire, et des systèmes d’authentification plus sophistiqués pour les coordonnées personnelles et le SSN doivent être utilisés. Un fichier national central des victimes (qui ne fait pas l’unanimité) est envisagé pour en faciliter l’assistance. En cas de « brèche », la notification doit être effectuée selon une norme nationale calquée sur les normes internationales de sécurité des données (ISO 17799, le code pour la gestion de sécurité de l’information et ISO 18033, les algorithmes de chiffrement), qui sont neutres quant au choix des technologies à mettre en œuvre et qui offrent une bonne protection. Lorsque l’usage du SSN est nécessaire à l’identification, le numéro doit figurer dans un fichier séparé avec des restrictions d’accès plus sévères que pour les autres données et ne peut plus servir pour l’authentification. Finalement, l’idée d’un fichier national des victimes a été rejetée car ce serait un moyen supplémentaire d’action pour les personnes malhonnêtes. Selon une étude reprise par USA Today, 162 millions de dossiers avec des données personnelles sont perdus ou volés en 2007 aux États-Unis soit un triplement depuis 2005 (qui avait recensé 49,7 millions de données volées). L’usurpation d’identité se vend sur Internet pour le prix de deux billets de cinéma (entre 14 et 18 dollars). Aujourd’hui, on peut obtenir le numéro de sécurité sociale, la date de naissance, le nom de jeune fille de la mère et le RIB de la victime. Environ 25 % de ce marché noir provient de vols sur les ordinateurs gouvernementaux. Selon Secure Science Corp., une société de San Francisco, il y aurait eu plus de 147 000 cartes de crédit vendues pendant le seul mois de janvier 2007. L’attention se tourne cette année vers la Grande-Bretagne^[1] où le gouvernement reconnaît tardivement et peu à peu ses erreurs. Fin novembre, l’administration fiscale britannique admet avoir égaré deux CD contenant des informations sur 25 millions de contribuables. Moins d’un mois plus tard, c’est la secrétaire aux Transports, Ruth Kelly qui reconnaît devant le Parlement la perte de deux disques avec les informations sur 7 500 véhicules (noms et adresses des propriétaires). Il va sans dire que l’annonce est complétée par celle des mesures qui doivent être prises à l’avenir pour renforcer les procédures de sécurité autour des données personnelles traitées par les services gouvernementaux…

Les libertés publiques aux États-Unis et le datamining du FBI

Le Sénateur Patrick Leahy (président de la commission de la Justice du Sénat américain) reçoit en janvier un rapport du ministère de la Justice américain (Department of Justice ou DoJ) qui explique en détail les pratiques de fouille de données informatiques (Data Mining) utilisés par les agences gouvernementales. Cette communication rentre dans le cadre de l’article 126 du Patriot Act (révisé en 2005) qui fait obligation au DoJ de communiquer au Congrès tout projet de création d’une fouille informatique de données. Le sénateur Leahy va donc critiquer sévèrement le gouvernement Bush et affirmer que plus de 199 programmes de fouille de données sont utilisés par les 52 agences gouvernementales en plus de celui qui est décrit dans ce nouveau rapport au Sénat. Selon ce rapport, le FBI utilise six outils de fouille de données et le nouveau projet est inquiétant. Le logiciel, nommé STAR (System To Assess Risk), est développé par le groupe spécialisé du FBI, le Foreign Terrorist Tracking Task Force (FTTTF). Star doit faciliter et automatiser le travail manuel des analystes anti-terroristes en utilisant des données telles que les nom, date et lieu de naissance, puis pour chaque personne il attribue un score en pondérant les résultats selon 35 règles prédéfinies. Fonctionnant en mode question-réponse, Star ne créé pas des alertes automatiques mais attribue un degré de risque qui facilite par la suite des analyses plus fouillées. L’outil réduit le champ de recherche à partir d’une première liste de suspects et fait l’objet de tests sur des données réelles. Il complète trois autres sources sur les menaces terroristes. Les défenseurs des libertés publiques américains dénoncent le fait que les données de ce nouveau projet proviennent aussi de la base ChoicePoint (une base concurrente de LexisNexis avec 17 milliards d’entrées diverses sur la vie des américains), de la base des données fournies par les compagnies aériennes (données PNR), du fichier qui recense les plaintes pour usurpation d’identité (voir plus haut) et d’autres sources… Les données issues des recherches de Star doivent être classées « Secret défense » et stockées temporairement.