Sécurité de l’information, données personnelles et Corée du Sud
Bien souvent, on ne se rend compte du degré de liberté dont on a joui dans le passé que lorsque l’on est confronté à des entraves dont on ne supposait pas l’existence.
Ainsi en est-il allé de l’auteur de ces lignes (dont vous pardonnerez la delonnerie stylistique qui a voulu qu’il parle de lui à la troisième personne), actuellement en poste en Corée du Sud. Période d’acclimatation oblige, les premières semaines sont consacrées au fameux triptyque : 1) où dormir ; 2) où manger ; 3) comment communiquer.
La résolution du point numéro trois a conduit à une situation singulière. En effet, la souscription d’un forfait téléphonique est particulièrement compliquée en Corée. Outre les paperasseries administratives qui, bien que plus nombreuses qu’en France, sont parfaitement légitimes, c’est bien sur le plan de la sécurité de l’information que les choses se sont compliquées.
Alors qu’en France la souscription d’un forfait téléphonique, lorsque l’on dispose d’un appareil, n’entraîne pas spécialement de formalités supplémentaires, en Corée du Sud les opérateurs enregistrent les numéros de série. Fait intéressant : c’est via ces numéros de série que les téléphones peuvent être détectés et localisés.
L’insertion de la carte SIM d’une personne tierce (à laquelle correspond le numéro de série d’un appareil spécifique), dans un téléphone quelconque n’entrave pas les communications ; mais celle-ci déclenche une alerte chez l’opérateur téléphonique.
Rien de bien méchant, me direz-vous. Sauf que toutes les informations concernant une machine sont accessibles au plus bas niveau de la hiérarchie de l’opérateur téléphonique. Vous devinez donc la surprise de l’auteur de ces lignes (encore lui), lorsque le petit vendeur du coin, 2 minutes après son arrivée dans le magasin, lui parla librement des statistiques de son appareil. Le temps de connexion au réseau était connu, de même que la localisation, l’identité du propriétaire de la carte SIM insérée (pourtant chez un autre opérateur)… alors que je n’avais encore souscrit à rien !
En France, l’article 7 de la loi Informatique et Libertés dispose :
Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
1) Le respect d’une obligation légale incombant au responsable du traitement ;
2) La sauvegarde de la vie de la personne concernée ;
3) L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
4) L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
5) La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
Comparons avec le cas coréen décrit plus haut. En l’occurrence : ma vie n’était pas en danger, la mission en question n’était aucunement une mission de service public, le contrat n’avait pas encore été signé, pas plus que l’intérêt légitime d’une des deux (futures) parties n’était opposable.
Reste le point 1), à savoir l’obligation légale incombant au responsable du traitement. Ne parlant pas encore le coréen, et ayant surtout des contacts avec les milieux scientifiques (et non juridiques), l’auteur de ces lignes (faites le taire) n’a pu vérifier le contexte légal encadrant sa « mésaventure ». Mais il est raisonnable de supposer que, tout comme la loi française l’énonce, c’est en raison d’une obligation légale que les opérateurs téléphoniques coréens doivent être capables d’engranger de telles informations, aussi facilement.
Car le problème n’est pas tant dans le fait ces informations puissent être recueillies (sur le plan technologique rien de surprenant là-dedans) ; non, ce qui est réellement étonnant est qu’il n’existe aucune barrière à leur obtention. Un petit employé d’un petit magasin, avec qui rien n’a encore été signé, était capable de dire où j’étais, à quelle heure, ce qui avait été fait avec le téléphone, quelle carte SIM avait été insérée, qui en était le propriétaire, etc. Si l’obligation légale est bien la raison pour laquelle une telle quantité d’informations est disponible aussi facilement, il faut se demander pourquoi une telle accessibilité a été développée.
Il n’y a pas si longtemps, la Corée du Sud était un pays autoritaire ; ceci explique peut-être cela. Ces derniers jours, un utilisateur de Twitter a publié un tweet quelque peu complaisant à l’égard du régime nord-coréen ; localisé en quelques minutes, il fut arrêté dans la journée.
Après tout, la liberté consiste à faire tout ce que permet la longueur de la chaîne, comme disait Cavanna…
- The last five posts in
"Cyberdéfense" - Anonymous : derrière le masque, une révolution de l’hacktivisme ?
- Sécurité de l’information, données personnelles et Corée du Sud
- Internet est un espace à part
- Relations internationales et cyberstratégie : la tentation moutonnière
- Les péripéties du drone américain RQ-170 : piratage réel ou guerre de l’information ?
- The latest posts from Intelligence Stratégique
- L’intégration industrielle allemande : un modèle pour le Maroc ?
- Kony 2012 : Viral propaganda ?
- Kalachnikovs : entre mythe et contrefaçons
- Should we ditch the Kyoto protocol?
- Récession 2012 : guerre ISDA-hedge funds, mort des CDS et colère de Wall Street
Comment(s)
