Le coffre-fort numérique ne protège pas nos fichiers

Données personnellesUne panne chez Swisscom a détruit les fichiers de centaines de clients, stockés sur MyCloud. L’analyse d’une experte.

Pour Solange Ghernaouti, experte en cybersécurité, on ne peut contrôler et sécuriser que ce l’on possède.

Pour Solange Ghernaouti, experte en cybersécurité, on ne peut contrôler et sécuriser que ce l’on possède. Image: PHILIPPE MAEDER

Signaler une erreur

Vous voulez communiquer un renseignement ou vous avez repéré une erreur ?

«Sauvegardez vos instants les plus précieux là où c’est le plus sûr: chez vous, à la maison. En Suisse.» Le slogan du géant Swisscom en a pris un sacré coup en cette fin de semaine. Comme l’a révélé le «Tages-Anzeiger» vendredi, des centaines de clients du géant bleu ont perdu tout ou partie de leurs données personnelles hébergées dans le service de stockage en ligne MyCloud, le fameux nuage. Photos de vacances? Attestations ou documents importants? Littéralement envolés dans les limbes numériques.

L’incident donnera des arguments à la concurrence internationale, comme Dropbox, Google Drive ou encore l’iCloud d’Apple. Et pour Swisscom c’est un nouveau dégât d’image. En février 2018, l’opérateur subissait le vol des données de 800'000 de ses utilisateurs. Noms, adresses, dates de naissance et numéros de téléphone avaient été dérobés par des malfrats qui n’ont toujours pas été identifiés.

Comment cela a-t-il pu se produire au pays de la technologie de pointe? Solange Ghernaouti, professeure à l’Université de Lausanne et experte internationale en cybersécurité, a un avis bien tranché sur la question. Selon elle, on ne peut plus faire comme si nous ne savions pas que le numérique n’était pas fiable. Interview.

Qu’est-ce que ce genre d’incident dit de notre ère numérique?
Le problème principal lié à l’usage du cloud que cela révèle est relatif au fait que le propriétaire des données n’a pas le contrôle de l’infrastructure informatique qu’il utilise. Il ne la possède pas et ne peut la gérer. On ne peut gérer, contrôler, sécuriser que ce que l’on possède… MyCloud n’est pas «mon cloud».

Quelles conséquences faut-il en tirer?
L’usager doit faire confiance à un prestataire externe sans pour autant avoir les moyens d’obtenir des garanties de sécurité. C’est une situation similaire à celle de confier les clés de votre domicile à quelqu’un pour venir arroser vos plantes, sans garantie qu’il ne les donnera pas à un tiers, qu’il ne les perdra pas ou qu’il ne profitera pas de vos valeurs à votre insu.

Quels conseils pratiques donnez-vous aux usagers?
Il faut se poser un certain nombre de questions. Est-ce que le stockage distant délégué à un tiers est vraiment nécessaire? N’est-il pas préférable de disposer de ses propres mémoires informatiques locales, dont on maîtrise les sauvegardes dupliquées sur plusieurs supports (disques durs, clés USB, etc.), éventuellement à plusieurs endroits, comme avant l’ère du cloud et du tout-réseau. Au final, a-t-on vraiment besoin du cloud (de n’importe quel fournisseur) pour stocker nos photos?

Le cloud, ce «coffre-fort» numérique, peut-on encore s’y fier?
En informatique, la notion de coffre-fort numérique est plus un abus de langage qu’une réalité de système inviolable. La robustesse des solutions, comme celle des coffres-forts, est variable selon le nombre de barrières sécuritaires implantées pour protéger l’infrastructure, le prix et les valeurs à protéger. La sécurité est toujours celle du maillon le plus faible. Des questions de coûts, de ressources, de complétude et de cohérence des solutions de sécurité font qu’il peut y avoir des incidents de sécurité liés à des erreurs ou à de la malveillance.

Se dirige-t-on, à terme, vers une dématérialisation totale de nos fichiers personnels?
C’est effectivement la tendance générale de la transition numérique, dont le moteur est l’économie de la donnée, moteur de croissance économique au service de l’optimisation des performances. Nous acceptons, sans la questionner, une gestion algorithmique généralisée de notre vie privée et professionnelle.


«Le gros problème, c’est l’absence de sanction»

La mésaventure rencontrée par Swisscom fait écho à la perte – fin 2018 – des données de 1000 clients UBS inscrits sur une application de coffre-fort électronique. «Il faut travailler pour que cela ne se reproduise pas, réagit Ruedi Noser (PLR/ZH). Mais je ne pense pas que ces cas soient dommageables pour l’image sécuritaire de la Suisse. Il y a des problèmes partout, il suffit de penser à Facebook.»

Pour l’ex-conseiller national Jean Christophe Schwaab (PS/VD), c’est surtout l’absence de sanction et d’obligation d’annonce qui écorne cette image. «Comme il y a de plus en plus de données sauvegardées, il y aura de plus en plus de pertes. Tant que les entreprises ne risquent rien, si ce n’est d’avoir mauvaise presse pendant deux jours, elles n’ont pas de raison de perfectionner leur sécurité.» Il aimerait introduire les plaintes civiles collectives. «Une procédure à titre individuel, c’est cher pour dédommager la perte de quelques souvenirs, mais si 4000 personnes lésées se mettent ensemble, ça change tout.»

Selon Fathi Derder (PLR/VD), la Suisse ne risque pas de voir pâlir son image de coffre-fort numérique, «car elle ne fait rien pour en devenir un». Dans une motion qu’il vient de déposer, il milite pour que le pays se dote de sa propre autorité numérique. «Cela permettrait non seulement de maintenir notre souveraineté dans un domaine sur lequel l’ensemble de notre société repose, mais cela rendrait la Suisse attractive et concurrentielle au niveau international.»Florent Quiquerez

Créé: 12.07.2019, 19h18

Les chiffres

Pertes
Combien de personnes sont touchées par l’incident, et dans quelle proportion? Swisscom confirme l’existence de centaines de cas, mais n’est pas plus précis. Selon l’entreprise, environ 5% des données des clients touchés ont été perdues. Quant aux clients concernés, ils ont été avertis par téléphone.

Dédommagement
Dans un cas cité par le «Tages-Anzeiger», une compensation financière de 50 francs a été proposée. Swisscom se contente de regretter ce qui est arrivé. Et explique qu’une erreur est survenue lors du développement interne du composant d’un logiciel.

Succès
À ce jour, plus de 400'000 photos ou vidéos privées sont stockées sur le système MyCloud de Swisscom. S.JU

Articles en relation

Pour rassurer leurs clients, les géants du cloud misent sur un «nuage 100% local»

Données informatiques Aujourd’hui, de plus en plus d’internautes s’inquiètent du pays où se trouvent les serveurs hébergeant leurs données. Plus...

Publier un nouveau commentaire

Nous vous invitons ici à donner votre point de vue, vos informations, vos arguments. Nous vous prions d’utiliser votre nom complet, la discussion est plus authentique ainsi. Vous pouvez vous connecter via Facebook ou créer un compte utilisateur, selon votre choix. Les fausses identités seront bannies. Nous refusons les messages haineux, diffamatoires, racistes ou xénophobes, les menaces, incitations à la violence ou autres injures. Merci de garder un ton respectueux et de penser que de nombreuses personnes vous lisent.
La rédaction

Caractères restants:

J'ai lu et j'accepte la Charte des commentaires.

No connection to facebook possible. Please try again. There was a problem while transmitting your comment. Please try again.

Caricatures

)6 nouveaux projets en faveur des piétons et des cyclistes
Plus...