Comment les entreprises collectent légalement vos données - et comment les arrêter

Publié Mis à jour
Cover image for: Comment les entreprises collectent légalement vos données - et comment les arrêter

En 2018, il a été découvert que Cambridge Analytica avait collecté les données d'au moins 87 millions d'utilisateurs de Facebook à leur insu , après les avoir obtenues via quelques milliers de comptes qui avaient utilisé une application de quiz.

La collecte de données en ligne est insidieuse et continue. Aujourd'hui, plus de données peuvent être collectées que jamais: les gens créent autant de données tous les deux jours que depuis le début des temps jusqu'à l'an 2000 . Lorsqu'elles sont examinées à cette échelle, les données personnelles peuvent sembler anodines.

Des entreprises telles que Facebook, Google et Amazon ont payé des amendes et des atteintes à la réputation extraordinaires pour accéder à ce type de données précieuses. Les données collectées par Facebook via l'utilisation de programmes tels que Onavo et Facebook Research (qui ont payé des adolescents et d'autres pour un accès quasi illimité à leurs données ) ont conduit à la découverte que WhatsApp était utilisé plus de deux fois plus souvent que Messenger, donnant à Facebook l'impulsion d'acheter WhatsApp en 2014. Cela s'est avéré extrêmement précieux .

En réalité, la protection des données n'est pas quelque chose que les consommateurs peuvent faire confiance à toutes les entreprises. Au lieu de cela, la protection des données nécessite une approche proactive. Cet article vise à vous aider à protéger vos données en vous informant de la vulnérabilité de vos données. Nous terminons avec quelques conseils sur ce que vous pouvez faire pour garantir la sécurité de vos données.

Attention aux motifs sombres

De nombreux utilisateurs d'Onavo ignoraient probablement qu'une grande partie de leurs données pouvait être consultée et que ces données seraient utilisées par Facebook . Onavo exigeait des autorisations root sur les téléphones des utilisateurs et un accès VPN aux ordinateurs, permettant à Facebook un accès intime aux données des utilisateurs. Messages privés sur les applications de médias sociaux; chats à partir d'applications de messagerie instantanée (y compris les photos et vidéos envoyées dans ces chats); courriels; historique de navigation sur Internet; et les informations de localisation étaient toutes accessibles à Facebook via Onavo.

Bien sûr, pour que les applications et les sites Web puissent accéder légalement à ces données, ils doivent d'abord obtenir l'autorisation de l'utilisateur. Si les entreprises demandaient une telle autorisation ouvertement et explicitement, les utilisateurs seraient plus susceptibles de refuser ces demandes. En conséquence, de nombreuses entreprises utilisent des dédales complexes de «motifs sombres» pour accéder judicieusement et légalement aux données des utilisateurs.

Des motifs sombres sont utilisés car ils obtiennent des résultats. Les utilisateurs sont plus susceptibles d'accorder des autorisations aux entreprises si une ou plusieurs des conditions suivantes sont remplies:

une. L'utilisateur estime qu'il n'y a pas d'autre alternative, ou que l'octroi d'une autorisation est la voie la plus rapide et la plus simple à suivre.

Les entreprises rendent souvent difficile pour l'utilisateur d'éviter d'accorder l'accès, en rendant les étapes pour refuser l'accès lors de l'inscription peu claires et compliquées. Cette méthode «roach motel» d'obtention des autorisations peut être vue dans le chemin tristement compliqué que LinkedIn a demandé aux utilisateurs de prendre afin de refuser à l'entreprise l'accès à leur liste de contacts.

La suppression de l'accès déjà accordé est souvent plus compliquée que l'octroi de l'accès en premier lieu. Les paramètres d'autorisations de suivi des données ou des cookies ne sont pas souvent situés dans les zones que vous attendez (comme la section «Confidentialité»). Un libellé trompeur ou des actions inhabituelles peuvent également être utilisés pour semer la confusion. Par exemple, les utilisateurs peuvent être invités à cocher une case afin de «refuser» de fournir des autorisations.

Send me details or do not send me details?
Envoyez-moi des détails ou ne m'envoyez pas de détails?

b. L'utilisateur ne sait pas qu'il accorde l'accès

L'octroi d'autorisations est souvent lié à une autre étape, plus évidente, comme la création d'un mot de passe. L'utilisation de cette méthode peut rendre les utilisateurs moins susceptibles d'identifier qu'ils ont accepté certaines autorisations de données. L'utilisation de petits caractères augmente également la probabilité que de tels accords soient ignorés.

Set a password and sign up for offers?
Définir un mot de passe et vous inscrire aux offres?

c. L'utilisateur se sent obligé d'agir rapidement

Ceci est généralement réalisé par l'une des trois tactiques de pression:

  1. Créer un sentiment de rareté. Booking.com prétend souvent à tort qu'il ne reste "qu'une chambre " afin de vous inciter à réserver votre séjour rapidement.
  2. Introduire une pression temporelle. Nous connaissons cette tactique lors de l'achat de certains articles, tels que les vols et les billets: les sociétés de réservation imposent une limite de temps aux articles dans votre panier. Les entreprises peuvent également utiliser des tactiques similaires pour obtenir l'autorisation de vos données.Facebook a semblé utiliser de faux points de notification rougesqui est apparu lorsque les utilisateurs ont été invités à accepter de nouveaux accords de confidentialité, peut-être pour tenter l'utilisateur d'accepter à la hâte afin de lire leurs messages.
  3. Recourir à effrayer la tactique. Voiciles termes utilisés par Facebooklors de la demande d'accès aux données de reconnaissance faciale: "Si vous ne désactivez pas la reconnaissance faciale, nous ne pourrons pas utiliser cette technologie si un étranger utilise votre photo pour vous imiter.«Malheureusement, les tactiques de peur sont omniprésentes dans la collecte de données, car la distinction entre ceux qui accèdent aux données pour les protéger et ceux qui ont l'intention de les absorber est floue.

Perversement, 3 des 10 heuristiques d'utilisabilité de Jakob Nielson, créées pour promouvoir la compréhension des systèmes en ligne par les utilisateurs, sont souvent renversées par des motifs sombres conçus pour favoriser la confusion et les décisions irréfléchies, et cela, couplé à des couleurs et des mises en page directrices qui suggèrent les éléments corrects à cliquer (mis en évidence sections, boutons verts), il est plus probable que les utilisateurs suivent un chemin prédéterminé tracé par ceux qui souhaitent accéder aux données personnelles.

Même lorsque les lois sont incontestablement enfreintes, la sanction n'est souvent pas suffisamment importante pour avoir un effet dissuasif sérieux. Les grandes entreprises de technologie qui ont enfreint les lois sont généralement punies d'amendes, comme les 170 millions de dollars que Google a payés fin 2019 après avoir constaté que YouTube avait violé la loi de 1998 sur la protection de la vie privée des enfants en ligne (COPPA). Bien qu'il s'agisse sans aucun doute d'une somme importante, cela grattait à peine la surface des bénéfices de l' entreprise , remettant en question l'efficacité de ces sanctions pour les entreprises technologiques colossales.

Le cryptage n'est pas infaillible

Si vous utilisez un iPhone - et ne jouez pas avec vos paramètres - une grande partie de vos données est déjà cryptée. Génial! Le cryptage signifie non piratable, non? Eh bien, en quelque sorte. À l'avenir, des ordinateurs théoriquement puissants seront capables de décrypter les données cryptées, bien que cela se produise probablement dans des centaines d'années (et ils devront avoir accès aux données cryptées).

Ce n'est pas parce que vos données sont cryptées qu'elles sont toujours en sécurité. Considérez, par exemple, différentes approches du chiffrement. Le chiffrement «de bout en bout» est la norme de référence, car il signifie que les données sont chiffrées aux deux extrémités de la communication et également en transit. Cependant, de nombreux services ne chiffrent les données que dans certaines situations, et pas nécessairement tant qu'ils sont à la fin de l'entreprise ou «au repos» sur votre appareil.

En fait, de nombreuses données personnelles ne sont pas entièrement cryptées à tout moment. Votre navigateur peut vous indiquer qu'une connexion à un site ou à un service est sécurisée, mais cela ne signifie pas que le service sous-jacent est sécurisé. Gmail et Evernote sont des exemples de produits qui utilisent le chiffrement, mais ne sont pas chiffrés de bout en bout, ce qui a permis à un googleur de lire les messages des utilisateurs . (Il convient de noter que Google a mis en place de nombreuses garanties depuis, mais la pratique persiste .)

Dans certains cas, les entreprises peuvent transmettre des données que vous pensez être entièrement cryptées à d'autres entreprises. Si vous utilisez une application de messagerie tierce, ils peuvent également avoir accès à vos données. Google autorise les applications tierces à accéder à vos données de messagerie , ce qui signifie que toute application tierce ayant un accès complet à vos données peut également lire vos e-mails légalement, sans vous demander spécifiquement l'accès .

Les enregistrements de haut-parleurs intelligents - comme Alexa d' Amazon - sont cryptés pendant le transit , mais ne sont pas efficacement cryptés lorsqu'ils atteignent le cloud d'Amazon, permettant à un client de recevoir 1700 fichiers audio obtenus à partir d'Alexa d'un autre utilisateur .

Sauvegarde des clés de chiffrement

Il est possible de crypter les données d'une manière qui les rend entièrement sécurisées. Si une entreprise stocke des données chiffrées avec une clé à laquelle seul l'utilisateur final a accès, l'entreprise et toute autre personne qui ne possède pas la clé n'auront aucun moyen de déchiffrer les données. S'il n'y a aucun moyen d'accéder à ces données, toutes les choses qui nécessiteraient autrement des protections disparaissent: l'entreprise ne peut pas être achetée et modifier sa politique, elle ne peut pas glisser et divulguer des données, et elle ne peut pas partager de données .

Les sauvegardes iCloud des iPhones et iPads - largement considérées comme bien protégées - ne sont pas complètement inaccessibles aux autres, car Apple conserve une clé pour les décrypter. de leurs données ( nous explorons ces compromis ici ), ou faites à la suite de la pression du FBI .

Bien que les sauvegardes iCloud soient vulnérables, d'autres données sensibles telles que la santé, le trousseau iCloud et les mots de passe sont entièrement chiffrés de bout en bout avec une clé qu'Apple ne détient pas, de sorte que ces informations ne sont pas accessibles à distance. Bien que cela ne s'applique pas à toutes les données des magasins Apple, la sécurité de bout en bout sans stockage central des clés est l' un des arguments de vente uniques d'Apple .

Apple fournit un cadre appelé «CloudKit» sur lequel les développeurs d'applications peuvent s'appuyer, et les données stockées dans CloudKit sont chiffrées de bout en bout. Un exemple d'un développeur qui utilise cela à bon escient est Bear , une application de prise de notes. Comme Bear utilise la technologie d'Apple pour le stockage de données, même les programmeurs de Bear eux-mêmes ne peuvent pas accéder à vos données , pas plus qu'Apple. Seul le propriétaire des données peut le faire.

La construction de systèmes comme celui-ci nécessite de la prudence et il est facile pour des erreurs inoffensives de nuire à l'efficacité du chiffrement. Le service «Messages dans iCloud» d'Apple en souffre: Apple ne détient pas explicitement la clé de ces données, mais une copie de la clé peut être incluse dans la sauvegarde iCloud d'un utilisateur, et Apple en détient les clés. Ainsi, un service peut fournir la clé pour en déverrouiller un autre.

Toutes les applications sur Google Play ne sont pas sûres

Les applications disponibles sur l'App Store d'Apple ont tendance à être sécurisées, car Apple les examine attentivement avant de les autoriser à télécharger. Cela est souvent considéré comme un élément dissuasif pour les développeurs d'applications, car obtenir une application sur l'App Store peut être beaucoup plus long et coûteux que d'obtenir une application sur Google Play . La raison en est que Google Play a un processus d'examen des applications beaucoup moins strict. Cela peut être bon pour les développeurs, mais c'est mauvais pour les consommateurs, car il est plus probable que des applications dangereuses - et même malveillantes - se retrouvent sur le Google Play Store. Lorsque l'ampleur de l'exploration de données de Facebook Research et Onavo est apparue, Apple a immédiatement retiré l'application de leur App Store, tandis qu'Onavo a continué d'être disponible via Google Play des semaines plus tard, jusqu'à ce qu'elle soit finalement supprimée par Facebook.

En avril 2018, un rapport de Sophos Labs a examiné 200 applications sur Google Play et a conclu que plus de 50% de toutes les applications antivirus gratuites disponibles sur le service pouvaient être classées comme «rogueware». Le rapport a noté que certaines applications avaient été téléchargées 300 à 400 millions de fois et a mis en garde les utilisateurs d'Android contre le téléchargement d'applications antivirus gratuites à partir de la boutique Google Play.

Alors que l'objectif principal de la plupart de ces applications malveillantes était de faire croire aux utilisateurs qu'ils avaient des virus qui nécessiteraient un paiement pour être supprimés (certaines applications semblaient télécharger un virus, validant leur revendication), beaucoup ont également demandé l'accès à un certain nombre de données sensibles autorisations. Les autorisations demandées par ces applications dépassaient souvent le cadre des fonctions dont une application antivirus typique aurait besoin , telles que l'accès à l'emplacement, l'accès à la caméra et l'accès au téléphone de l'utilisateur à leur insu.

Depuis la publication du rapport des Sophos Labs, Google a fait des efforts pour sécuriser son App Store. En novembre 2019, la société a mis en place l' App Defense Alliance avec trois sociétés antivirus - ESET, Lookout et Zimperium - dans le but d'éliminer la présence d'applications malveillantes sur le Google Play Store. Il n'est pas clair, cependant, que l'App Defense Alliance se souciera également de protéger les données des utilisateurs.

Les logiciels antivirus n'offrent pas toujours une protection

L'utilisation de logiciels antivirus tiers a diminué au cours de la dernière décennie en raison de trois facteurs:

  1. Les utilisateurs stockent de plus en plus leurs données sur le cloud, généralement dans un état crypté, plutôt que localement sur des ordinateurs qui pourraient autrement bénéficier d'un logiciel antivirus.
  2. Il y a proportionnellement plus de données sur les smartphones, qui ont tendance à avoir des contrôles et des réglementations intégrés plus strictes concernant la sécurité que les ordinateurs.
  3. Les systèmes d'exploitation modernes incluent une protection antivirus en standard (comme le Gatekeeper de Mac ou le Defender de Microsoft).

L'utilisation décroissante de logiciels antivirus tiers a laissé ces entreprises dans une situation délicate, conduisant à des fusions d'antivirus et à des efforts pour pivoter dans d'autres sphères afin de rester à flot . Étant donné que les logiciels antivirus bénéficient généralement d'un accès étendu aux données stockées sur les ordinateurs (une étape nécessaire si le logiciel doit identifier les logiciels malveillants stockés n'importe où sur l'ordinateur), ces sociétés ont accès à un grand nombre de données sensibles. Le logiciel antivirus a été utilisé avec succès comme un outil d' espionnage par derrière en raison de son accès considérable aux données.

Presque toutes les sociétés d’antivirus annoncées aujourd’hui sont basées dans des pays où les lois sur la protection des données sont faibles, ou utilisent des sociétés écrans pour sembler en être autrement. Pas en Europe ou aux États-Unis? Pas de Data Protection Act (britannique), pas de GDPR (Europe) et pas de SafeHarbor (US). Cela permet à ces entreprises de trouver facilement des méthodes supplémentaires de capture de valeur à partir des données des utilisateurs.

L'emplacement de ces entreprises profite de leur transition vers l'offre de VPN aux côtés de leur logiciel antivirus typique. Les VPN acheminent toutes les données d'un utilisateur via un tiers. Cela peut être judicieux, car il déplace le trafic Internet d'un utilisateur vers un chemin qui peut éviter certaines autorités, mais il met ces données entre les mains d'entreprises privées inconnues. Un grand nombre de VPN populaires sont basés en Chine ou ont une propriété chinoise, ce qui, étant donné que les VPN sont officiellement interdits en Chine , peut indiquer qu'il y a de bonnes questions à se poser sur la sécurité de ces données.

Les VPN sont agressifs dans leur publicité et leur marketing, utilisant de plus en plus des YouTubers pour la publicité payante, et Google se noie dans les sites qui gagnent des frais d'affiliation pour la promotion des VPN, dans la mesure où il est presque impossible de trouver des critiques ou des éditoriaux authentiques. Il semble peu probable que cela change. Si vous étiez un nouvel entrant et que vous vouliez construire un excellent produit et le faire fonctionner de manière éthique, vous n'entreriez pas en concurrence avec des sociétés audiovisuelles offshore désespérées! Il est ironique que la majorité des entreprises restées sur ce qui devrait être un marché à haute confiance soient hautement suspectes.

Avec ces pensées à l'esprit, il existe quelques principes et étapes à suivre pour protéger les données, et ils sont décrits dans la section ci-dessous.

Comment protéger vos données

Voici une brève liste des étapes que vous pouvez mettre en œuvre pour protéger vos données. Si vous êtes un utilisateur d'iPhone, consultez notre analyse approfondie de la protection de votre iPhone, de vos photos et de votre compte iCloud .

  1. Si vous devez utiliser Android, utilisez un téléphone fabriqué par Google (comme le Pixel), car Google est le seul fournisseur à fournir de manière fiable des mises à jour logicielles et de sécurité régulières. Méfiez-vous des risques liés au téléchargement d'applications depuis Google Play. Si cela vous semble restrictif ou onéreux, envisagez de passer à un iPhone.
  2. Soyez prudent en téléchargeant des applications ou en vous inscrivant à des services. Méfiez-vous des modèles sombres et des services gérés par des sociétés anonymes ou des sociétés en dehors des territoires dotés de lois strictes sur la protection des données (Europe, États-Unis, Canada).
  3. Ne vous fiez pas à des services publicitaires comme Facebook - au pire, ne vous connectez pas avec Facebook ou n'installez pas l'application - ou à des produits comme Google Wi-Fi quicollecter à distance des données. Pare-feu puissants commePetit vif d'or(macOS) ouPare-feu gardien(iOS, "Pour nous, les données sont un passif, pas un atout») Peut bloquer ou mettre en évidence la collecte de données invasive.
  4. Lorsque vous trouvez des applications ou des logiciels, ne vous fiez pas à des avis autres que ceux trouvés dans l'App Store ou à des sources d'avis tierces de confiance. Il est facile de simuler des avis sur un site Web, de créer de petits sites de faux avis indépendants et deafficher les étoiles dans les résultats de recherche Google. Des sites d'avis encore plus importants comme Trustpilotpeut être manipulé, mais ils restent probablement la meilleure source d'avis.
  5. Soyez conscient de votre webcam et de votre micro: les applications qui les utilisent ne seront pas nécessairement claires. MêmeMark Zuckerberg garde son bloquéquand il ne l'utilise pas. Considérez unbouclier de webcametbloc microce qui peut empêcher votre ordinateur de pouvoir vous enregistrer.
  6. Utilisationauthentification à deux facteurs(2FA), mais ne l'utilisez pas par SMS. Il est relativement facile de réaliser ce que l'on appelle un «Prise SIM"Attaque pour accéder aux SMS d'une autre personne. Le PDG de Twitter étaitattaqué avec succèsde cette façon en 2019.
  7. Effectuez des sauvegardes régulières de votre iPhone ou iPad à l'aide d'iTunes ou de l' iPhone Backup Extractor (tous deux gratuits pour cette fonctionnalité) plutôt que d'utiliser iCloud, car iCloud n'est pas chiffré de bout en bout et a une limite de stockage gratuit de 5 Go.
  8. Utilisez le chiffrement complet du disque (FDE). Les appareils iOS et Android modernes ont cette option activée par défaut, mais pas votre PC ou Mac. Sur le Mac, cela s'appelleCoffre fortet sous Windows, cela s'appelleBitLocker. Sans FDE, il serait facile pour quiconque de simplement retirer le disque dur de votre ordinateur pour voir vos données, en contournant le mot de passe que vous utilisez pour sécuriser votre compte.
  9. Ne différez pas les mises à jour logicielles. Bien que cela puisse être frustrant lorsqu'il semble que votre ordinateur, votre téléphone ou votre navigateur veuille souvent mettre à jour et redémarrer, ces mises à jour contiennent souvent des mises à jour de sécurité vitales.
  10. Les applications de gestion des mots de passe peuvent être très utiles pour aider les utilisateurs à définir et à mémoriser des mots de passe distincts et sécurisés pour les applications et services qu'ils utilisent. De bons gestionnaires de mots de passe peuvent également détecter les mots de passe en double ou faibles et comparer les vôtres aux bases de données de mots de passe divulgués, telles quehaveibeenpwned.1Mot de passeetDernier passagebien travailler.

Pouvons-nous améliorer cet article?

Nous aimons entendre les utilisateurs: pourquoi ne pas nous envoyer un email, laisser un commentaire ou tweet @reincubate?

© 2008 - 2020 Reincubate Ltd. Tous droits réservés. Enregistré en Angleterre et au Pays de Galles #5189175, VAT GB151788978. Reincubate® est une marque déposée. Politique de confidentialité & termes. Nous recommandons l'authentification multi-facteurs. Construit avec à Londres.