Internet des objets et protection de l’information : quelle sécurité pour la mesure de soi?

L’offre de services de « QUANTIFIED SELF » ou la « MESURE de SOI » (nombre de pas ou d’heures de sommeil, calories ingérées…) est la plus proche expression de l’Internet des objets. Le développement de ces services a explosé mais leur conception et leur utilisation posent de sérieuses questions de sécurité et deprotection de la vie privée, alors que le développement de l’Internet des objets repose sur la confiance et laprotection des données.

Une analyse récente de ces objets et applications de mesure de soi montre des vulnérabilités dans lagestion des données personnelles. Voici les principaux enseignements de cette analyse et les questions que doivent se poser consommateurs et fabricants.

– Géolocalisation : tout terminal est géo-localisable, sans exception. Un grand nombre est utilisé pour traquer l’activité de l’individu, via des capteurs pour retranscrire ensuite les statistiques sur un terminal tiers. Certains terminaux permettent une interrogation à distance et le transfert de données, à l’insu de leur propriétaire. Les fabricants n’ont pas pris sérieusement en considération les implications de ces transferts involontaires sur la protection de la vie privée. Ces données sont accessibles facilement, et utilisables à des fins peu ou pas honnêtes.

– Transmission des données personnelles “en clair” : 20 % des applications transmettent des données en clair. Les données collectées sont pour la plupart accessibles via les traditionnels identifiants de connexion. Malheureusement, elles sont transmises via Internet sans être chiffrées, et donc sans réelle protection. Les fabricants doivent mettre en place une vraie politique de chiffrement ou informer l’utilisateur qui prendra ensuite ses responsabilités.

– Absence de politique de confidentialité : 52 % des applications examinées n’ont pas de politiques de confidentialité. L’utilisateur est en droit d’attendre des sociétés qu’elles affichent clairement leur politique de confidentialité, et pas seulement de façon juridique. L’absence de politique de confidentialité est un indicateur de la façon dont est considérée la sécurité dans le développement et la gestion des services de mesure de soi. Les fabricants auraient tout à gagner à être transparent sur ce sujet.

– Pertes de données accidentelles : en moyenne, les applications analysées se connectaient à 5 domaines Internet différents, principalement à des fins marketing. Malgré la meilleure volonté des développeurs, les données personnelles peuvent être dévoilées par des services tiers et faire l’objet de fuite ou de vol. Pour l’utilisateur, il s’agit de maitriser clairement et consciemment les informations qu’il est prêt à partager avec la société gérant l’application ainsi qu’avec des tiers.

– Gestion hasardeuses des données : les comptes utilisateurs sont gérés en silos et de façon isolée pour séparer les données de chaque compte. Des sessions sont alors utilisées pour gérer le flux et l’analyse d’informations. L’analyse montre que certains sites ne les géraient pas correctement. Les cybercriminels peuvent exploiter ces failles de sécurité pour voler, modifier et utiliser ces données à des fins malveillantes. Les fabricants doivent tout mettre en place pour gérer efficacement et en toute sécurité les informations collectées.

L’idée n’est pas de refuser les objets connectés mais de rappeler les gestes à adopter en tant qu’utilisateur : couper le Bluetooth s’il n’est pas utilisé, utiliser des mots de passe forts et différents, s’interroger sur la géolocalisation et le partage sur les réseaux sociaux, lire et comprendre la politique de confidentialité, s’assurer du chiffrement des données.

La responsabilité des concepteurs et exploitants de ce type d’accessoires est fortement engagée. La commercialisation d’un objet connecté se fait rapidement, au détriment de la sécurité et de la gestion efficace des données. A long terme, le succès de l’Internet des objets repose sur la confiance, qui n’existe que si les données sont correctement gérées, sécurisées et protégées.

 

Plus de détails ? cliquer plus bas  pour l’étude IN EXTENSO (fichier PDF):

Notamment réalisée à l’aide de ce charmant bidule  !

[source : Helloblog.fr, 06 octobre 2014]