Qu’est-ce que l’Open Source ?

Qu’est-ce que l’Open Source ?

Les mots Open Source reviennent souvent quand il s’agit d’applications grand public mais de quoi s’agit-il exactement ? Le terme Open source s’applique à des logiciels dont le code source est consultable, accessible à tous. Se dit également code source ouvert, l’open source est souvent le fruit d’un travail collaboratif. Dans le cadre d’une véritable licence de source ouverte, ce type de modèle de développement est communément appelé FOSS, Free and Open Source Software, que l’on pourrait grossièrement traduire par logiciel libre à source ouverte.  

Un monde ouvert

Open Source Logo L’univers de l’Open source, est vaste et couvre un grand nombre de domaines liés aux systèmes d’informations, logiciels bien sûr, mais également les serveurs, certains outils, des solutions de réseaux voir même de sécurité. Il n’existe pas, à proprement parler, de hiérarchie en matière de qualité entre les outils open source et ceux qui sont propriétaires (à code fermé). Dans bon nombre de cas, on parle de source disponible, c’est une forme de variante, cela signifie que le code source est, certes consultable, mais n’accorde aucune permission pour modifier ou encore utiliser le code. La raison première est bien sûr liée à la sécurité.  

Du coup, l’Open Source c’est gratuit ?

C’est une erreur fréquente, ce n’est pas obligatoirement gratuit. Il s’agit en fait d’un amalgame fait avec le terme logiciel libre. En effet, il existe des logiciels libres de droit gratuits qui s’appuient sur un code Open Source pour fonctionner. Pour résumer, le terme Open Source va désigner la méthode de développement tandis que l’expression logiciel libre exprimera d’avantage la philosophie d’un projet. ProtonVPN est un parfait exemple. C’est une création Open Source de plusieurs chercheurs du CERN et bien qu’étant un VPN sans abonnement payant, il propose également une version gratuite parfaitement fonctionnelle de toutes ses applications. Illustration : ProtonVPN, application VPN Open Source gratuite Pour en savoir plus à propos des logiciels libres, une organisation américaine à but non-lucratif, la Free Software Foundation, a pour mission depuis 1985 de promouvoir et de défendre les logiciels libres ainsi que leurs utilisateurs.  

Comment définir un système à source fermée ?

La plupart des logiciels sont écrits et développés par des entreprises à des fins commerciales. Ce travail représente un investissent important en matériel de pointe et en personnel qualifié. Leurs travaux sont donc maintenus à l’abri des regards et protégés légalement. Le chiffrement est également utilisé pour rendre le code inaccessible. Bien que de très nombreuses sociétés proposent des solutions pour les systèmes d’informations absolument remarquables, il n’en demeure pas moins vrai que leur utilisation implique de s’en remettre totalement à l’entreprise qui fournit ces programmes. Dans de très nombreux cas, ces logiciels sont souvent audités de manière indépendante ou un programme de Bug Bounty est mis en place afin d’offrir aux utilisateurs des garanties supplémentaires. A noter qu’une application Open Source peut également être auditée et avoir un programme de primes aux bugs. Illustration : Plateforme de Bug Bounty France, YesWeHack

 Platefome de Bug Bounty, YesWeHack.

 

Une des meilleures méthodes de développement possible ?

Disons simplement que c’est une approche moins opaque. En effet, si le code d’un logiciel est consultable, il peut être examiné et audité de manière indépendante par toute personne s’estimant assez qualifiée pour le faire. Le but est de déterminer plusieurs choses, comme la présence d’une porte dérobée permettant des actes de malveillance, certaines vulnérabilités au niveau de la sécurité ou encore un nombre important de bugs. À ce jour, l’Open Source est le seul moyen d’avoir la certitude qu’un logiciel effectue les tâches qu’il est censé faire.  

Personne n’est parfait.

En règle générale, un code accessible est relativement fiable même s’il n’est pas audité. Les développeurs n’ont aucune raison d’inclure des lignes de codes malveillantes à la vue de tous. Malheureusement, il existe un nombre limité de personnes ayant à la fois les compétences et le temps nécessaires pour auditer tous les logiciels accessibles. Ce problème est aggravé par le fait que de nombreux programmes à source ouverte sont extrêmement complexes, contenant plusieurs milliers de lignes de code, de sorte que même s’ils ont été audités, il est tout à fait possible que les informaticiens aient pu manquer un problème. Illustration : Octocat de la plate-forme Github

Octocat, la mascotte de GitHub, la plate-forme d’hébergement des développeurs qui souhaitent partager leur code.

 

Pour une plus grande transparence

Préférez, dans la mesure du possible, des logiciels ouverts connus et reconnus par la communauté informatique. Dans le cas de la protection de la vie privée, Private Internet Access fait actuellement figure d’exemple puisque ce VPN sans log est devenu Open Source et offre un niveau de transparence et de responsabilité très élevé.

Illustration : Private Internet Access le VPN Open Source

PIA utilise WireGuard® et OpenVPN. Ce sont deux protocoles de chiffrement VPN Open Source parmi les plus appréciés des informaticiens. Private Internet Access a également un programme de sécurité WhiteHat en place pour encore plus de transparence et garantir une amélioration permanente de ses applications.

Qu’est-ce que Tails ?

Qu’est-ce que Tails ?

Il est présenté comme la nouvelle bête noire des services de renseignements, Tails serait la solution de sécurité pour la vie privée en ligne. Mais qu’en est-il vraiment ? Qu’est-ce que Tails ? Est-ce réellement un outil fiable et valable ?

Qu’est-ce que Tails ?

Conçu en 2009, Tails est l’acronyme anglais de The Amnesic Incognito Live System. Disponible en français, il s’agit d’un système d’exploitation portatif Open Source et gratuit basé sur Debian Linux, axé sur la sécurité et la confidentialité, destiné à être exécuté à partir d’une clé USB, DVD ou machine virtuelle (image ISO). Compatible avec Windows, MacOS et Linux, Tails ne laisse aucune trace sur le système d’exploitation original installé sur l’ordinateur, que ce soit dans la mémoire ou dans le système de fichiers.

Illustration : Présentation de TAILS

Principe de fonctionnement de Tails

En tant que système d’exploitation, Tails est livré avec plusieurs applications prêtes à l’emploi axées sur la sécurité. En effet, cet OS portable utilise le navigateur Tor (Tor Browser) par défaut pour se connecter à Internet.

Logo de Tor, le navigateur associé au réseau Tos

Toutes les communications sortantes sont acheminées par le réseau Tor. Tails comprend également des applications pour chiffrer les données, le générateur de mots de passe KeePassXC et des outils pour minimiser les risques lors de la connexion à Internet. Il est à noter que toutes les communications sous Tails, y compris les e-mails et la messagerie instantanée, sont chiffrées par défaut. Tails empêche principalement le suivi d’un individu sur Internet et contourne la censure.

Installation de Tails

Tails peut être installé sur n’importe quelle clef USB d’au moins 8 GB. Cela prend en moyenne 30 minutes. Branchez votre clef et lancez-le. Tails n’est pas fait pour être installé en dur sur le système d’exploitation de son utilisateur. En effet, cet OS amnésique se lance grâce à un ISO. Aucune donnée n’est stockée sur votre machine. Une fois que vous avez arrêté le système, celui-ci est purgé. Les données disparaissent définitivement. Combiné à une navigation Internet à travers le réseau Tor, Tails transforme l’internaute en fantôme.

Illustration : écran de Tails

Sauvegarder des fichiers avec Tails ?

Bien que cela soit déconseillé, il existe un moyen de sauvegarder vos fichiers si vous en avez besoin. TAILS propose un stockage persistant sélectif qui est entièrement chiffré. La sélection des fichiers destinés à être stockés se fait manuellement, le reste sera détruit après le redémarrage.

De nombreuses applications légères sont disponibles. En dehors de TOR pour la navigation, vous disposerez de Libreoffice pour le traitement de texte, Onionshare pour le partage de fichiers (utilise TOR) et l’application de mails Thunderbird pour les emails.

 

Illustration : OnionShare

 

À noter qu’aucune application ne peut contourner TOR et se connecter directement à l’internet. Elles doivent toutes obligatoirement passer par le réseau en onion pour se connecter. Ce parti pris garanti que toute application installée ne peut pas divulguer vos données.

Inconvénients de Tails

Cet OS amnésique portatif a malheureusement ses limites en termes de performances. Utiliser Tails comme système d’exploitation principale est une mauvaise idée. En effet, il ne vous sera pas possible d’exécuter des applications lourdes et vous serez constamment limité techniquement.

Peut-on utiliser Tails avec un VPN ?

Tails, à lui seul ne peut pas supporter d’application VPN. Il est cependant possible de contourner ce problème en installant votre réseau privé virtuel sur votre routeur domestique si vous naviguez depuis chez vous. Le meilleur VPN pour les configurations routeurs est ExpressVPN en raison de son interface simplifiée qui ne nécessite aucune ligne de commandes complexes.

Illustration : VPN pour routeur

ExpressVPN a d’ailleurs un fonctionnement assez similaire à Tails. En effet, sa technologie TrustedServer présente une innovation qui garantit que tous les serveurs utilisent le même logiciel et la même configuration. Chaque fois qu’un serveur est mis sous tension, il charge la dernière image en lecture seule contenant la pile logicielle complète et l’OS. L’image est également chiffrée par ExpressVPN, et les serveurs ne fonctionnent pas si cette signature spécifique n’est pas reconnue.

Utiliser un VPN pallie aux faiblesses du réseau TOR. En effet, le fait que les 6 000 nœuds du réseau soient publics et administrés gratuitement par de parfaits inconnus est un frein pour de nombreuses personnes. Par ailleurs, une utilisation excessive du réseau TOR entraîne systématiquement une surveillance de votre réseau.

Utiliser un VPN permet de cacher que vous utilisez TOR et Tails. (ça en fait des éléments pour garantir l’anonymat !)

Modèle économique de Tails

Tails est gratuit et Open Source. Le projet TOR finance une partie du développement avec Mozilla, la Fondation pour la liberté de la presse et le projet Debian. Il existe également une version payante destinée aux entreprises.

Pour conclure

Tails est une bonne option de sécurité et d’anonymat en ligne mais uniquement ponctuellement. Transparent dans sa conception, c’est devenu un outil incontournable pour une bonne partie des globes trotteurs et des journalistes.

Bug Bounty : Explications

Bug Bounty : Explications

Pour faire écho à notre série d’articles sur les hackers, abordons aujourd’hui l’univers du Bug Bounty. Non, il ne s’agit pas d’un cafard qui aurait mangé une barre chocolatée, mais d’une vaste partie de chasse aux bugs. Le principe est assez simple, il s’agit d’une invitation officielle et rémunératrice faite aux hackers par des sites internet ou des développeurs de logiciels dans le but de découvrir des potentiels bugs ou des failles de sécurité. Ces programmes permettent de découvrir et de résoudre des bugs avant que le grand public ne les subisse ou en ait connaissance.

 

C’est nouveau ?

C’est un des pionniers d’Internet qui a lancé le principe au milieu des années 90. Netscape Communication, connu pour son navigateur, fédérait à l’époque une communauté zélée d’ingénieurs très inspirés. Ces fans comptaient également des employés de l’entreprise. À cette époque, un des responsables du service technique eut l’idée de mettre en place le premier programme de Bug Bounty. Les employés étaient encouragés à aller encore plus loin dans la recherche de bugs et de failles de sécurité au moyen de primes. Internet était également invité à faire de même par l’intermédiaire des forums consacrés à Netscape et de nombreux sites non-officiels.

Le succès d’un tel programme perdure encore aujourd’hui. Il n’y a pas que les entreprises qui en proposent, mais également, certains gouvernements et les armées. La France, également, dispose de ses propres programmes de chasse aux bugs et aux vulnérabilités (Bug Bounty France).

Ce ne sont pas les entreprises ou les développeurs des logiciels testés qui sont les principaux acteurs d’un programme Bug Bounty, ce sont les hackers. Ils portent d’ailleurs différents noms, chercheurs ou encore hunters (chasseurs). Les hackers sont alors considérés comme non-hostiles et portent le nom de hackers éthiques quand ils œuvrent à la découverte d’une faille de sécurité. Même s’ils sont rémunérés pour leurs découvertes, le défi que constituent certains programmes de Bug Bounty suffit à en motiver plus d’un.

logo hackers

 

Les entreprises n’ont-elles pas déjà leurs propres prestataires en matière de sécurité ?

L’intérêt des programmes de Bug Bounty réside essentiellement dans le fait qu’une entreprise dispose, en théorie, d’un nombre très élevé de hackers motivés aux compétences multiples 24 h sur 24 et disséminés dans le monde entier. Les hunters les plus actifs sont respectivement en Inde, en Russie et aux Etats-Unis.

Le Bug Bounty est devenu rapidement un standard en matière de cybersécurité. En effet, si les sociétés prestataires en matière d’audit de sécurité auront toujours leur utilité, leurs missions sont généralement axées sur des points bien spécifiques. Les programmes de Bug Bounty sont beaucoup plus ouverts et encouragent la créativité.

Au départ, l’idée de convier des hackers à venir forcer leurs systèmes avait de quoi rebuter bon nombre de chefs d’entreprise, mais les découvertes ainsi que le nombre important de reports de vulnérabilités système d’une grande pertinence ont fini par convaincre les derniers sceptiques. En France, les programmes de Bug Bounty ont commencé à se démocratiser à partir de 2015.

 

Comment ?

C’est essentiellement la sécurisation des données sensibles qui motive les entreprises à avoir recours à des chercheurs. Si des géants comme Microsoft, Facebook ou encore Google peuvent se permettre de coordonner et d’administrer un programme de Bug Bounty par eux-mêmes, ce n’est pas le cas pour toutes les entreprises. En effet, il existe des plateformes qui permettent la mise en place de ces parties de chasse. En Europe, les plateformes YesWeHack et Yogosha sont des références reconnues qui permettent aux entreprises de lancer leur programme de Bug Bounty et aux hunters d’être informés qu’un nouveau challenge les attend.

Bug Bounty France : logo de YesWeHack

 

Quelles sont les règles du jeu ?

Les programmes de Bug Bounty sont soumis à des règles strictes, ne pas s’y soumettre pour un hacker constitue une violation et pourrait avoir pour conséquence de ne toucher aucune compensation financière ou d’être tout simplement banni.
Un chercheur doit veiller à ne pas détériorer les biens ou les données pendant ses tests d’intrusion. Toutes les vulnérabilités qui sont signalées doivent être directement exploitables. Même s’il existe un barème concernant les primes, le montant de celles-ci est directement soumis à la discrétion de la société qui a lancé le programme de chasse.

Chaque rapport doit être accompagné d’une déclaration de principe et d’une description détaillée avec les étapes à suivre. Le pentesteur* doit également expliquer en quoi la faille qu’il a détectée peut affecter les données d’un utilisateur et/ou le bon fonctionnement d’une application/logiciel/système.

illustration noix de coco : Bug Bounty France

 

Pour conclure

Invisible pour le grand public, cet éternel ballet, cette chasse sans fin apporte son lot d’avantages pour les internautes. En effet, bon nombre d’applications et de services sécurisés ne pourraient pas l’être sans ce type d’initiatives.

En Mai 2020, Olvid, la messagerie instantanée chiffrée française a ouvert son code aux hunters de chez YesWeHack. Un des VPN les moins cher Open Source, Private Internet Access (PIA) a également mis en place un programme de sécurité Whitehat ouvert à tous et offrant de belles rémunérations.

Illustration : Bug bounty programme de PIA

*Pentesteur : Hacker qui explore différents scénarios d’intrusion dans un système d’informations.

Qu’est-ce que l’IOT ?

Qu’est-ce que l’IOT ?

L’internet des objets (Internet Of Things) est l’interconnexion entre tous les objets connectés qui utilisent Internet ou leurs protocoles ; téléphonie mobile 3G/4G/5G, Bluetooth, le Wi-Fi… Etc. Si ce terme prend, chaque année, de plus en plus d’importance, c’est parce qu’il inclut tous les objets du quotidien, pas seulement les ordinateurs, les téléphones ou les IPTV, et touche tous les secteurs de notre vie. Ce sont d’ailleurs ces objets qui sont venus alimenter le Big Data. On estime qu’en 2025, 150 milliards d’objets seront connectés entre eux.

C’est nouveau l’IOT ?

Bien que le concept en lui-même se définisse un peu plus clairement depuis quelques années, l’idée de cette multiple-connectivité n’est pas récente. En effet, dans les années 80, des machines étaient déjà connectées entres elles via des réseaux ou encore des serveurs. Peu à peu d’autres appareils ont subit quelques modifications dans le but d’envoyer des données à des serveurs capables d’interpréter et d’archiver ces informations.

illustration d'un réseau routier complexe

Au début des années 90, on ne parlait pas d’iot mais plutôt de l’internet des machines, le peu d’objets connectés existant ne représentaient pratiquement rien en terme de données et la domotique était encore considérée comme de la science-fiction. De nos jours, c’est différent, on prête même parfois « une vie » à certains appareils, le terme sonnerait presque comme un abus de langage, mais il est clair que nos objets connectés deviennent peu à peu, des acteurs autonomes de notre quotidien. Imaginez votre robot de cuisine capable d’élaborer une recette avec ce que lui indique comme ingrédients votre réfrigérateur intelligent.

illustration d'appareil electroménager

Une anarchie numérique ?

En matière de régulation de cette « portion » d’Internet qu’occupent, d’une certaine façon, ces objets connectés, il n’existe quasiment rien. Là ou les enjeux deviennent pressants et préoccupants, c’est au niveau de la sécurité des dits objets ainsi que des plates-formes par lesquelles transitent les données. Les conséquences sur le devenir de la vie privée suscitent également quelques interrogations.

Omniprésente et tellement multiple dans ses différents protocoles, l’iot repose malheureusement sur des standards de sécurité obsolètes. La logique, quand on créé un système d’information, c’est d’abord de concevoir le système de sécurité avant l’ergonomie ou encore la fonctionnalité, mais dans le cas de l’iot, le développement fut tellement anarchique et rapide que rien n’a pu être anticipé dans ce sens. On estime à 70 % les objets connectées vulnérables aux attaques, babyphone avec caméra, volets roulants automatiques, porte de garage, variateurs, montres, voitures électriques …. Etc drone

Des débuts de solutions, mais surtout des recommandations

Si peu à peu certaines entreprises proposent des solutions, comme par exemple du chiffrement asymétrique, il n’en demeure pas moins qu’actuellement l’achat d’un nouvel objet connecté est sujet à la méfiance et au questionnement en raison du fait que certains d’entre eux sont paramétrés par un logiciel propriétaire et des dispositifs matériels inaccessibles pour l’utilisateur.

La question du consentement demeure également en raison des caméras et des micros. Bon nombre d’articles fleurissent un peu partout dans la presse dans le but d’informer et d’inviter les utilisateurs à se méfier, ou du moins, se montrer un peu plus prudents avec leurs nouveaux appareils intelligents. Les VPN sans log sont en mesure de sécuriser vos données personnelles sur internet, mais leur champ d’action ne s’applique pas aux enceintes connectées, aux volets intelligents, aux montres…

illustration objets connectes ampoules

La très grosse majorité de ces articles se basent essentiellement sur les études qui sont actuellement menées sur certains types d’objets connectés. Hewlett-Packard s’est intéressé aux montres intelligentes et conclut que le principal problème réside dans une authentification insuffisante de l’utilisateur, dépourvue de protocole de chiffrement asymétrique, une bonne partie de ces montres ne peut pas garantir la sécurisation de certaines données sensibles. Il est donc recommandé aux usagers d’être vigilants quant à la nature des informations personnelles qui circulent via ce type d’objets. Symantec a également réalisé une étude assez poussée concernant les objets connectés qui touchent le secteur de la santé comme les moniteurs cardiaques par exemple.

En dehors d’une vigilance plus accrue de la part des utilisateurs, il est également recommandé de régulièrement mettre à jour les systèmes de ces objets, les mises à jour ne servent pas uniquement à corriger certains bugs, mais également combler certaines failles de sécurité qui auraient été détectées.

 

L’ioXt

Illustration : logo de l'ioXt

Une nouvelle alliance tente actuellement d’établir des normes visant à sécuriser les produits et services étroitement liés à l’IOT. Il s’agit de l’ioXt. C’est un consortium international. La mission de l’ioXt est de renforcer la confiance dans les produits de l’Internet des objets grâce à des exigences de sécurité et de confidentialité harmonisées et normalisées. Ils mettent en place des programmes de conformité et de transparence de nombreux produits et services de sécurité grand public.

Bien que non-reconnue officiellement en France, beaucoup de grandes entreprises ont rejoint cette coalition. Les certifications actuellement délivrées par l’ioXt sont plus à prendre comme un label indépendant pour le moment.

Qu’est-ce qu’un Warrant canary ?

Qu’est- ce qu’un Warrant Canary ?

Méconnu et pourtant assez répandu sur la toile, le terme Warrant Canary est une déclaration publique indiquant qu’un fournisseur de service Internet n’a pas fait l’objet d’une demande d’information dans le cadre d’une procédure judiciaire. C’est, en réalité, une astuce visant à contourner les lois sur l’interdiction de divulgation de mise sur écoute ou de mise à disposition d’informations confidentielles concernant un utilisateur.

Pourquoi un canari ?

À l’origine, la forme domestiquée du Serin des Canaries était utilisée pour prévenir les mineurs que le taux d’oxygène devenait drastiquement bas et l’air toxique. Dès l’instant où l’oiseau montrait des signes de faiblesse, cela indiquait aux ouvriers de la mine qu’il fallait remonter au plus vite. Cette méthode fut abandonnée en 1987.

illustration : cage à oiseaux vide

La vérité est ailleurs

En réalité, c’est un biais et il n’y a aucune raison de faire confiance aux déclarations véhiculées par ces oiseaux virtuels.
Dans de nombreux pays, y compris la France, les lois relatives à la sécurité nationale et aux renseignements condamnent très lourdement toute personne divulguant le fait qu’un fournisseur ait reçu l’ordre de mettre sur écoute ou de transmettre des informations personnelles aux autorités.
La technique du canari mandataire joue donc sur les mots et flirte un peu avec la ligne rouge. En Australie, c’est interdit de «divulguer des informations sur l’existence ou la non-existence».

Illustration : scène d'X-files©

X-Files©

À quoi ça ressemble ?

Il s’agit en réalité d’un simple document déclarant la non-existence d’une quelconque demande d’informations ou de mise sur écoute. Aucune connaissance particulière n’est requise pour comprendre la teneur du propos puisqu’en théorie, si une demande d’information est faite, la déclaration disparait tout simplement.
D’ailleurs, si vous lancez une requête sur le sujet dans un moteur de recherches, il est aisé de se rendre compte que parfois une simple image suffit à remplir le rôle du warrant canary.

En quoi ça concerne les VPN ?

Les réseaux privés virtuels ne sont pas des FAI. Ils sont cependant fournisseurs de services Internet et leur nature d’intermédiaire peut parfois les contraindre à répondre à certaines injonctions. À l’image d’Apple en 2013 qui avait publié une déclaration officielle indiquant que l’entreprise «n’a jamais reçu aucun ordre» de divulguer des informations sur ses utilisateurs (disparue en 2014), certains fournisseurs de VPN sans log publient des warrant canary. Parmi eux, on peut citer Surfshark et TrustZone. Ces déclarations sont souvent publiées par souci de transparence, énumérant les procédures que l’entreprise peut déclarer officiellement comme un programme de Bug bounty ou un audit indépendant.

 

L’oxygène commence à manquer.

Illustration : canari watch

Soutenu par ExpressVPN, l’EFF (The Electronic Frontier Foundation), une organisation à but non-lucratif de défense des libertés civiles dans le monde numérique, a crée en 2015 un site entièrement dédié aux warrant canaries, CanaryWatch. Le site avait pour objectif de recenser les canaris publiés. Le projet à cessé d’être alimenté 1 an plus tard.

Parmi les passereaux disparus au cours de ces dernières années, on retrouve, Apple, Reddit et Pinterest pour ne citer que les plus connus. Celui de SpiderOAK, le cloud chiffré ultra sécurisé, s’apparenterait plus à un phœnix tant il semble renaître de ces cendres pour disparaître à nouveau.

 

Il est difficile de conclure au terme de ce type d’article, l’idée était d‘expliquer simplement le principe du Warrant canary.

Si vous souhaitez en savoir plus, voici quelques liens utiles :

 

  • Le site officiel de CanaryWatch. Même si il est toujours en ligne, celui-ci n’est plus alimenté.
  • Le site officiel de l’EFF

Qu’est-ce qu’une métadonnée ?

Qu’est-ce qu’une métadonnée ?

En quoi les métadonnées sont-elles importantes ?

On nous en parle partout ces derniers temps sans jamais vraiment expliquer clairement ce que c’est, ce sont les métadonnées. Mais qu’est-ce que c’est qu’une métadonnée ? Et surtout à quoi ça sert ?

Qu’est-ce qu’une métadonnée en général ?

Le terme métadonnée est un mot composé du préfixe grecque méta qui indique l’auto-référence. En clair, les métadonnées sont des données servant à décrire des données. Le support et la forme de celles-ci n’ont aucune importance.

Quels sont les différents types de métadonnées ?

Les métadonnées sont utilisées dans presque tous les domaines de la vie courante, et ce, depuis très longtemps. L’ancêtre de la métadonnée en imprimerie est le colophon. C’était une note détaillée sur les anciens manuscrits comprenant différentes indications telles que le titre, le nom de l’auteur, le nom du copiste et la date d’impression.

Les images

Si vous avez une base de données de photos, de dessins, etc. Les métadonnées permettent de dire à un système de les trier par date, taille, auteur, lieu ou tout autre critère qui a été prédéterminé. Les images numériques contiennent ces spécifications depuis 1995 (données EXIF).

illustration : copyright

Les fiches de bibliothèque

Que ce soit sur papier ou dans une base de données informatiques, les différents ouvrages sont répertoriés en fonction de l’auteur, de la langue, de l’année de sortie, de la tranche d’âge …

En archéologie

Lorsqu’un tesson est découvert, les archéologues l’enregistrent avec le plus d’informations possibles pour un référencement future.

Les moteurs de recherche

En dehors du texte qui apparaît lorsque vous ouvrez une page, il y a des données invisibles pour les utilisateurs qui la décrivent. Les balises d’auteur, de données, de sujet et autres permettent à Google, Qwant, Bing (et tous les autres) de comprendre si la page est pertinente par rapport à votre recherche sans pour autant qu’une personne physique ne l’ait lue.

Les annonces publicitaires

Si les spécialistes du marketing disposent de métadonnées en quantité suffisante, ils peuvent déterminer si un internaute correspond à leur cible pour certaines annonces. Les métadonnées peuvent indiquer le temps passé sur certains sites ou les recherches effectuées autour d’un sujet défini par exemple.

La surveillance

Dans ce cas particulier, la liste des possibilités est infinie avec la navigation Internet et la capacité des FAI à retracer l’intégralité de la navigation internet d’un de leur abonné.

  • Le nom du titulaire du compte, son adresse, sa date de naissance, ses adresses électroniques et d’autres informations permettant d’identifier la personne
  • Les moyens de communication utilisés (voix, SMS, e-mail, chat, forum, réseaux sociaux, media center, applications…)
  • La localisation géographique de la personne au début et à la fin de la communication
  • Les coordonnées de tous les destinataires
  • Le canal utilisé pour la communication (Wi-Fi, VoIP, câble, etc.).

Vraiment indispensable ?

Comme évoquée ci-dessus, une métadonnée est très utile, car elle renseigne, par exemple, un livre que vous aimeriez acheter, grâce à son titre, aux informations sur l’auteur ou encore l’univers de celui-ci et le public visé. Cela permet également d’avoir des information sur des photos, l’adresse GPS quand il s’agit d’un selfie, la date de la prise de vue…Etc L’archivage et le classement sont indispensables à l’accessibilité au savoir de manière efficace.

illustration : données de couleur

En quoi les métadonnées concernent directement les individus ?

Si les données réelles concernant la vie privée des personnes sont encore, à ce jour, difficiles à obtenir, ce n’est pas le cas des métadonnées. Très simples à collecter, elles renseignent sur la totalité de l’activité internet, mais pas seulement. La quantité d’appareils dont dispose une personne, ses différents systèmes d’exploitation, les versions, quelles applications sont installées, à quelle fréquence elles sont utilisées, l’emprunte de chacun des navigateurs … Etc

Et c’est tout ?

Aux États-Unis, la récupération et l’exploitation de toutes les métadonnées récupérées par les fournisseurs d’accès à Internet sont légales depuis 2017.

En France, il existe plusieurs organismes, dont la CNIL, qui veillent, protègent et défendent le droit à la vie privée, l’exploitation des métadonnées est une zone assez obscure. Bien qu’ayant l’air abstraites, ces informations sur les informations sont pourtant réelles et peuvent permettre d’identifier quelqu’un. L’utilisation d’un VPN sans log (qui ne conserve pas de journaux de ses utilisateurs) permet de les dissimuler et de les rendre inexploitables.