Ce module est une ressource pour les enseignants

Une cybercriminalité qui compromet la vie privée

La cybercriminalité porte atteinte à la vie privée et à la sécurité des données personnelles ; cela est particulièrement vrai pour le piratage informatique, les logiciels malveillants, l'usurpation d'identité, la fraude financière, la fraude médicale et certaines infractions contre les personnes qui impliquent la révélation d'informations personnelles, de messages, d'images et d'enregistrements vidéo et audio sans le consentement ou la permission des personnes concernées (par exemple, le cyberharcèlement et la cyberintimidation, abordés dans le Module 12 sur la cybercriminalité interpersonnelle).

Les données sont considérées comme des marchandises, aussi bien en ligne qu’hors et tant par les acteurs licites que les acteurs illicites. (Maras, 2016). C’est pourquoi d’ailleurs, elles sont une cible privilégiée des cyberdélinquant(e)s. Elles jouent également un rôle essentiel dans la commission de nombreuses cyberinfractions, surtout parce qu’elles ne sont pas suffisamment protégées et qu'il est possible d'y accéder et de se les procurer de manière illégale. Les violations de données résultent de la perte ou du vol de clés USB cryptées et d'autres dispositifs de stockage, principalement des ordinateurs portables et des smartphones, d'une sécurité défaillante des systèmes et des données, d'un accès frauduleux ou d'un dépassement du niveau d'accès autorisé à une base de données, ainsi que de la divulgation, de la diffusion ou de la publication accidentelles de données. Parmi les exemples notables de violations de données, on peut citer :

La base de données nationale centralisée du gouvernement indien (Aadhaar), qui stocke les données d’identité et biométriques, à savoir les empreintes de pouce et les images d'iris, d’1,2 milliard d'indiens, et qui est utilisée pour vérifier l'identité des ressortissants pour les services financiers, publics et autres, a fait l'objet d'une violation en 2018, entraînant la compromission de données d'identité, telles que les noms d'accès, l’identifiant à douze chiffres, les numéros de téléphone, les adresses électroniques et les codes postaux, mais pas les données biométriques (Safi, 2018 ; Doshi, 2018).
Les informations concernant environ 30 millions de Sud-Africains ont fait l'objet d'une fuite en ligne en 2017, notamment leurs nom, sexe, revenus, antécédents professionnels, numéros d'identité, numéros de téléphone et adresses personnelles, par suite d'une violation de données subie par l'une des principales sociétés immobilières du pays, Jigsaw Holdings (Fihlani, 2017 ; Gous, 2017).
Les données de plus de trois milliards d’utilisateurs de Yahoo ont été compromises en 2013, notamment dont leurs noms, adresses électroniques, mots de passe, avec un cryptage pouvant être facilement contourné, dates de naissance (Newman, 2017).
La société de conseil internationale Deloitte a été attaquée à travers un compte non sécurisé, ce qui a compromis les identifiants et mots de passe, entre autres, d'environ 350 clients (Hopkins, 2017).
Les données personnelles, c'est-à-dire l'identifiant national, le nom, le sexe, le nom des parents, l'adresse du domicile, la date de naissance et la ville de naissance, de plus de 49 millions de citoyens turcs ont été rendues publiques en 2016, à travers une base de données mise en ligne (Greenberg, 2016).
Aux Philippines, les données personnelles et biométriques de plus de 55 millions d'électeurs ont été compromises en 2016, après que des pirates informatiques en chapeaux noirs ont réussi à accéder sans autorisation au site web de la Commission électorale (COMELEC) (Tan, 2016). Sur la distinction entre les pirates en chapeaux noirs, blancs et gris, voir le Module 2 sur les types de cyberinfractions ; voir également Radziwill et al, 2015 ; Chatelain, 2018b.

Le saviez-vous ?

Les dommages causés par un vol de mot de passe peuvent aller au-delà du compte compromis, car les utilisateurs réutilisent souvent leurs mots de passe en tout ou partie, par exemple certains numéros, et s’en servent sur plusieurs sites web, comptes de messagerie, applications et/ou plateformes en ligne.

Aux violations de données s’ajoute le fait que l’on trouve des données médicales, financières et autres informations personnelles sur des forums en ligne qui se spécialisent dans le « carding », c'est-à-dire des sites en ligne consacrés à la vente de données de cartes de débit et de crédit, ainsi que sur des darknets, que l’on trouve sur le deep web (web profond) (voir le Module 5 de cette série sur la cybercriminalité, consacré aux enquêtes sur les cyberinfractions ; voir également Maras, 2014 ou Finklea, 2017, en anglais, et Chatelain, 2018a, en français, pour un complément d’informations sur le darknet et le web profond).

Au-delà de la divulgation à des fins financières, il est possible que des données compromises soient rendues publiques pour faire honte aux victimes et révéler des actions ou comportements immoraux, réels ou prétendus. Cela fut le cas par exemple lors de la mise en ligne d'informations personnelles, dont les noms et adresses électroniques, d'environ 37 millions d'utilisateurs d'Ashley Madison, un site web qui mettait en relation des utilisateurs à la recherche d'une aventure extraconjugale (Zetter, 2015).

C’est souvent aux personnes dont les données sont volées que l’on attribue la responsabilité d’en garantir la sécurité. On les invite à minimiser leur « empreinte numérique » par la mise à jour des paramètres de sécurité des applications, des sites web, des réseaux sociaux et d'autres plateformes en ligne qu’elles consultent, et la suppression et/ou la réduction de la quantité de leurs données personnelles accessibles aux autres utilisateurs (Maras, 2016). Cette approche centrée sur la victime attribue la responsabilité, en cas d’échec de la protection, à celles et ceux qui sont la cible de cyberinfractions, et non aux délinquant(e)s et aux entreprises dont les systèmes ont été violés. Mais, dans les faits, les victimes ne sont pas en mesure de protéger leurs données personnelles lorsqu'elles sont « stockées et volées dans les bases de données de tierces parties sur lesquelles [les victimes … ne peuvent exercer de] contrôle » (Maras, 2016, 289). De plus, il devient de plus en plus difficile de minimiser son « empreinte numérique » aujourd'hui. Les personnes qui choisissent de ne pas participer à la collecte, à l'analyse et à l'utilisation de leurs données disposent de moins d'alternatives, voire d'aucune. Par exemple, les utilisateurs des réseaux sociaux ont le choix entre deux options : soit fournir le minimum d'informations personnelles requises pour utiliser la plateforme, ce qui correspond essentiellement au « paiement » exigé de la personne pour l’utilisation du service, soit refuser de fournir ces informations et ne pas avoir accès à la plateforme en question. Aucune alternative ne leur est proposée. Par ailleurs, l’utilisation de l’Internet des Objets (IdO), dont il est question dans l'introduction du présent module, requiert la communication d’informations personnelles. À cela s’ajoute qu’un nombre toujours croissant de nouveaux dispositifs connectés à Internet arrivent sur le marché, y compris de nombreux objets qui ne l'étaient pas auparavant, comme les appareils ménagers, les bijoux, les vêtements et les jouets (Maras, 2015), ce qui laisse aux consommateurs moins d'options s'ils décident de se procurer un article non doté de telles capacités.

LA SÉRIE DE MODULES DE l’ONUDC LA CYBERCRIMINALITÉ

Module 10 : Protection des données et de la vie privée

Introduction et Objectifs d’apprentissage

Questions clés

Exercices

Structure de cours suggérée

Lectures essentielles

Lectures avancées

Suivi des acquis de l’étudiant(e)

Outils pédagogiques supplémentaires

Ce module est une ressource pour les enseignants

Une cybercriminalité qui compromet la vie privée

Le saviez-vous ?

Section suivante : La législation sur la protection des données

Haut de page