Fuite de donnees personnelles : 24h sous surveillance numerique

Le réveil trahi par vos capteurs

7h00. Greg se réveille. Il ne garde pas son téléphone directement à côté de lui comme beaucoup le font, mais il l’utilise comme réveil. Donc il doit éteindre cette alarme.

Ce geste anodin ? Il parle déjà pour lui. Les capteurs intégrés comme l’accéléromètre, le gyroscope et le capteur de proximité détectent si vous êtes allongé, assis, ou en mouvement. Mais ça ne s’arrête pas là.

La plupart de vos applications, y compris les apps de productivité, les réseaux sociaux, et même les jeux, ont souvent accès à ces mêmes capteurs de mouvement dans leurs conditions d’utilisation, que vous le réalisiez ou non. Ces applis peuvent donc savoir si vous êtes réveillé, si vous êtes actif, et même à quelle vitesse vous avez attrapé votre téléphone.

Votre simple façon de toucher l’écran devient une trace qui révèle vos routines, vos vulnérabilités, et même votre état d’esprit. Le truc ouf c’est que vous ne pensez même pas à y faire attention.

L’e-mail piégé

8h30. Greg vérifie sa boîte mail comme la plupart d’entre nous, et clique sur un e-mail suspect. Son boulot l’oblige à trier les propositions de sponsors. Il dit lui-même ne pas comprendre comment ils obtiennent encore son adresse.

Ce type écrit : « Je m’appelle Robert Barnes, je travaille avec Seven Up. » Vous savez comment on voit que c’est pas réel ? Regardez le site web d’où ça vient. Le fameux « first.net ». La première chose à faire, c’est vérifier l’expéditeur : si c’est pas @coca-cola.com ou @7up.com ou une agence réputée, méfiance.

Mais ce que Greg ne réalise probablement pas, c’est que le simple fait d’ouvrir sa boîte et de cliquer sur ce message renvoie déjà des informations. Cachée dedans, une image de tracking d’un pixel sur un, invisible à l’œil nu. Elle s’active dès que votre appareil la charge. Elle est tirée depuis un serveur distant, et cette requête est liée à votre adresse e-mail.

Du coup, elle confirme que cet e-mail a été ouvert, quand il a été ouvert, et même quel appareil a été utilisé. Ces pixels de tracking sont utilisés par les marketers, les arnaqueurs et les courtiers en données pour vérifier votre identité et votre activité sans que vous cliquiez jamais sur un lien.

Si le hacker le voulait, il pourrait utiliser cette fuite pour cartographier le type d’appareil de Greg, son adresse IP et sa localisation générale. Il pourrait aussi construire un schéma de quand Greg vérifie ses e-mails, dans quel fuseau horaire il se trouve, et s’il utilise un téléphone ou un ordinateur portable.

La traque des fans

Greg voyage beaucoup pour le travail. Il cherche un vol de dernière minute pour aller récupérer un camping-car blindé avec son équipe. Le système détecte sa recherche. Les données sont vendues instantanément aux compagnies aériennes, aux annonceurs, et oui, parfois aux gouvernements.

Quand le gouvernement achète vos données de vol, il ne se contente pas de suivre vos déplacements. Il cartographie vos relations, vos routines, vos intentions. Disons que vous prenez un vol pour l’étranger. Ces données peuvent être transmises à un gouvernement étranger, via une agence partenaire ou un courtier en données commercial. Quand votre historique de vol est combiné avec vos données de localisation, votre activité bancaire, vos enregistrements hôteliers, ça construit un profil comportemental très précieux. Et ce profil pourrait servir à vous signaler, vous détenir, ou restreindre vos voyages futurs, sans mandat ni procédure légale.

Mais le plus frappant dans l’histoire de Greg, en fait, c’est la traque par les fans. Son atelier est caché, pas ouvert au public. Pourtant, des gens se pointent plusieurs fois par semaine. L’autre jour, un type a débarqué. « Mon pote a assez fouiné pour trouver l’adresse. » Comment ? Mettre une vidéo sur pause, zoomer sur un panneau de rue, une réflexion dans une vitre, recouper avec une image satellite, une annonce immobilière ou un post Instagram. Et boum. Tout ça pour répondre à une question : où est Greg ?

Le truc marrant c’est que ce genre de chose n’a rien de rare, en réalité. Un créateur a été retrouvé après un simple plan d’un menu en arrière-plan. Un autre, grâce à l’angle de la lumière du soleil sur une photo. Ce niveau de détail prenait des heures avant. Maintenant, vous pouvez le demander à une IA.

La maison qui vous espionne

Sans rire, Greg a pris la sécurité au sérieux : plusieurs caméras à l’intérieur et à l’extérieur, tout connecté à un gros système Ring. C’est bien qu’il ait agi rapidement. Mais est-ce que je suis pleinement d’accord avec ce produit précis ? Pas sûr, pas à 100 % en tout cas.

Ring a été au centre de poursuites et d’enquêtes impliquant des employés et des hackers qui utilisaient ces caméras pour espionner les gens. Dans certains cas, des pirates ont pris le contrôle des caméras, parlé à travers elles, ou regardé des familles en temps réel. Des caméras partout, des capteurs partout, des données qui fuient de partout. Chaque point d’entrée a un capteur. Des capteurs de mouvement à l’intérieur. Greg est concerné, il veut garder un œil sur ses affaires, mais il ne réalise probablement pas que tout ça est fortement remisé parce qu’il vend ses données d’une certaine manière.

Autre problème de commodité : pouvoir utiliser une appli pour regarder à travers votre caméra. Il y a deux failles : le nom d’utilisateur et le mot de passe, mais aussi l’endroit où les images finissent. Il existe de nombreux exemples où des serveurs de systèmes de caméras ont été attaqués plutôt que l’utilisateur. Plus vous stockez, plus le risque de fuite est grand, comme le rappelle régulièrement la plateforme Cybermalveillance.

Je vais pas vous mentir, je préférerais que Greg passe à un système de caméras plus professionnel, dont lui seul aurait les yeux sur les images. Ou quelque chose qui sauvegarde sur une carte SD située dans la caméra elle-même.

Les outils qui en savent trop

Greg consulte les statistiques de sa chaîne YouTube via un plugin payant qui aide à classer ses vidéos. Le problème ? La plupart du temps, ces plateformes se déguisent en alliées alors qu’elles prennent aussi vos informations et les revendent d’une manière ou d’une autre. En utilisant ce genre de service, vous leur donnez un accès au niveau connexion à votre chaîne. Le service peut alors agir en votre nom. Ça inclut la lecture de vos métriques de performance, l’accès à vos vidéos privées, la modification des paramètres, ou même la révocation de votre accès à votre propre chaîne si les choses tournent mal.

Si l’entreprise se fait pirater un jour, votre chaîne sera compromise sans préavis. Et il n’y a aucun moyen de protéger vos informations d’un futur propriétaire qui n’aurait pas vos intérêts à cœur.

La voiture connectée, cette balance

Greg conduit une Jeep avec tout l’arsenal technologique : Bluetooth, caméras, navigation, satellite. Il aime les voitures avec de la technologie, ça le rassure. Mais conduire une voiture connectée comporte ses propres risques. Et chaque virage, chaque freinage, chaque arrêt est enregistré et renvoyé non seulement au constructeur, mais aussi aux courtiers en données.

Il y a eu un cas où une personne ne comprenait pas pourquoi son assurance augmentait. Elle n’avait jamais eu d’accident, conduisait prudemment. C’était parce qu’elle freinait trop souvent. Et ça, ça remonte au cerveau de la machine, qui l’envoie à LexisNexis. Qui le transmet à une compagnie d’assurance, qui fabrique tout un algorithme.

Des courtiers en données comme LexisNexis vendent à quasi n’importe qui. Ça peut être une compagnie d’assurance, un prêteur, un employeur, mais aussi une agence gouvernementale, un détective privé, un journaliste, un ex-partenaire. Si vous avez de l’argent, ils vendent.

Marketplace : la pêche aux gros poissons

Greg cherche des jantes de moto sur Facebook Marketplace. 920 euros, pas trop loin de chez lui, un bon plan. Mais le problème avec Marketplace, c’est qu’il n’y a pas de séparation entre ses différents comptes. Quelqu’un comme Greg, qui achète et vend des véhicules, c’est une baleine. Un utilisateur à valeur extrême.

Les annonceurs sur Facebook peuvent dire : « Montrez-moi quelqu’un en Pennsylvanie qui dépense plus de 500 000 dollars en pièces automobiles. » Les hackers aussi savent cibler les baleines. Si vous êtes inquiet du niveau de tracking que vous recevez, un des correctifs les plus rapides est de trouver le paramètre de personnalisation des pubs et de le désactiver. Ça semble n’être qu’une personnalisation des annonces, mais ce que vous faites vraiment, c’est inviter un niveau invasif de tracking.

Pour l’échange, Greg apporte des liquides. Son nom complet est dans le fil de discussion. Sa plaque d’immatriculation est visible. Il se montre en personne. Identité confirmée : le monde réel et le monde numérique correspondent. Peut-être que le vendeur est honnête, mais maintenant il sait qui est Greg, ce qu’il conduit, quel équipement il achète, et qu’il transporte du liquide.

Cette fois, la personne rencontrée était un fan. Juste un fan. Amical, inoffensif. Mais à chaque fois, Greg laisse une pièce de lui-même : un visage, un schéma, un détail qui reste. Pas forcément cette personne, mais un jour quelqu’un pourrait connecter les points. Non pas parce qu’on cherche Greg, mais parce qu’il s’est rendu facile à trouver.

Les enfants, l’IA et les photos

De retour à la maison, les enfants sont sur leurs Chromebooks. Bon, bonne nouvelle : les Chromebooks ont des fonctionnalités de sécurité que d’autres ordinateurs n’ont pas. Une des meilleures protections, c’est le conteneur chiffré virtuel. Imaginez une mallette verrouillée qui vit à l’intérieur de l’ordinateur. Tout ce que vous exécutez ne peut lire que lui-même. Sans le mot de passe, c’est complètement illisible. Si quelqu’un vole l’appareil, il ne verra que du code brouillé : aucun nom, aucun fichier, même pas de noms de dossiers reconnaissables.

Beaucoup de pirates pensent que vous êtes sur un téléphone ou un PC, mais personne ne s’attend à ce que vous utilisiez Chrome OS. Ce n’est pas une cible populaire. Vous volez sous le radar. C’est pas impossible de se faire infecter, mais c’est hautement improbable.

Greg met des émojis sur les visages de ses enfants dans ses vidéos. Bonne intention, mais insuffisant. Si vous faites ça, essayez un masquage complet façon renard, qui couvre toute la zone. Les lunettes de soleil ? Ça laisse trop de visage exposé. Et malheureusement, on vit à une époque où l’IA peut prendre des visages partiellement masqués et les fusionner pour reconstituer un visage.

L’IA de Meta ne se contente pas de stocker l’image. Elle scanne tout ce qu’il y a dedans : visages, vêtements, arrière-plans, même le style de la pièce. Tout ça est étiqueté, enregistré et lié à votre compte. L’algorithme et l’IA peuvent déduire que ces êtres humains qui se tiennent à côté de Greg sont probablement ses enfants. Ça crée des profils fantômes, qui se remplissent avec tout ce qu’ils ont sur eux. Un profil fantôme, c’est un conteneur pour un futur profil. Si les enfants de Greg décident un jour de créer un compte Facebook, tout ce que Greg a probablement posté à leur sujet sera combiné dès le jour zéro.

La nuit, les données travaillent

Le soir, Greg continue de scroller. En moyenne, quand vous arrêtez-vous d’utiliser votre téléphone ? On dit qu’il faudrait arrêter une demi-heure avant de dormir. Mais la plupart d’entre nous ne le fait pas. Pendant ce temps, la technologie fait tout pour vous garder éveillé un peu plus longtemps, ouvrir une autre appli.

La nuit, l’algorithme devient personnel. Une pièce rare vient d’être postée. Un commentaire sur une vidéo oubliée. Une nouvelle voiture projet listée dans votre secteur. Puis ça glisse vers quelque chose d’inattendu. Une vidéo de crash sauvage. Une bagarre dans un rassemblement auto. Un titre qui se termine par « vous ne croirez pas ce qui arrive ensuite ». Ce combo maintient le flux de dopamine. Excitation, puis curiosité. Puis retour au confort. Votre cerveau reste activé et vos doigts continuent de défiler. Et voilà, le piège est refermé.

Et voilà que Greg reçoit une alerte PayPal pendant qu’il dort. Quelqu’un essaie de pirater ses données. La cybersécurité est une activité 24h/24. Mais ceux qui ont le plus d’expérience et sont les mieux payés veulent travailler de 9h à 17h. Logique, non ? Ceux qui travaillent tard, en fin de soirée, ont moins d’expérience. Ils vont détecter moins de menaces. Et les attaquants le savent.

Greg va aux toilettes. Il attrape son téléphone. Ce mouvement confirme qu’il est réveillé. Ajoutez l’heure de la nuit, la lumière ambiante et les données de mouvement, et vous venez de fuiter un signal de santé. Ça peut être étiqueté comme mauvais sommeil, repos perturbé, ou même signes précoces de pré-diabète. Et ces données peuvent alimenter en silence des modèles de risque d’assurance qui augmentent vos tarifs dans votre dos.

• A lire aussi ⇒ 10 outils gratuits pour masquer vos traces
• Nos 3 meilleurs choix de navigateurs en matière de sécurité et de confidentialité

Et le prix qui monte tout seul

Plus tôt dans la journée, tiens, Greg regardait des prix de vols. S’il tape « je veux aller de New York à Los Angeles », ça pose un cookie et un tracker. Ce vol que Greg regardait, il ne l’a pas réservé. Il est allé se coucher. Ce délai dit au système qu’il est intéressé. Les algorithmes interprètent ça comme de l’urgence. Pendant qu’il dort, le prix grimpe silencieusement. Au matin, ce même vol peut coûter deux à trois fois plus cher. Parce qu’il a hésité, et le système le sait.

Bref, tant que Greg n’est pas à l’heure, ses données, elles, le sont. Elles travaillent toute la nuit pour quelqu’un d’autre. Elles regardent, profilent, fixent des prix, ciblent. Et chaque petite action fait partie d’un schéma plus vaste. Il n’a jamais accepté de partager tout ça.