La lettre de la Silicon Valley Offrir la cybersécurité pour tous
L’application MySudo permet à ses utilisateurs de générer des avatars virtuels, dotés chacun d’un email et d’un numéro de téléphone, pour éviter de céder leurs informations personnelles en ligne.
Ces derniers mois ont été marqués par une multiplication des scandales autour de l’exploitation des données personnelles sur la Toile. Il y a d’abord eu, en septembre 2017, le piratage d’Equifax, qui a compromis les informations de 140 millions d’Américains. Puis, en mars dernier, la révélation du scandale autour de Cambridge Analytica, société de communication britannique qui a exploité les données personnelles des utilisateurs de Facebook pour leur adresser des contenus politiques ciblés durant la dernière campagne présidentielle américaine ( La Tribune du 18 mai 2018). Selon le New York Times, l’entreprise de Mark Zuckerberg aurait également laissé plusieurs constructeurs de smartphones chinois accéder aux données de ses utilisateurs. La question de la protection de la vie privée sur la Toile devient une préoccupation majeure, mais souvent considérée avec un certain fatalisme : de nombreux internautes se sentent désarmés face à un environnement virtuel complexe et au pouvoir monopolistique des géants du digital. C’est pour répondre à cet épineux problème que Steve Shillingford a créé l’entreprise Anonyome Labs. « J’ai passé vingt ans à travailler en tant qu’expert en cybersécurité pour le compte de diverses entreprises et gouvernements. Au fil du temps, j’ai constaté que tou jours plus de données étaient collectées sur les individus, une évolution qui me déplaisait. J’ai alors décidé de profiter de mon expertise dans ce domaine pour concevoir une application qui fournit aux individus une meilleure protection de leur vie privée sur la Toile. L’idée étant de concevoir un service accessible, qui ne requiert aucune connaissance technique pour être utilisé, afin de rééquilibrer la balance en faveur des individus face aux États et aux grandes entreprises », raconte-t-il.
OFFRES CIBLÉES
Baptisée MySudo, il s’agit d’une application de communication anonyme, qui permet aux utilisateurs de générer plusieurs identités virtuelles différentes, chacune assortie d’un numéro de téléphone et d’un email. Ce système peut être utilisé pour échanger avec des inconnus en ligne, sur une plateforme comme Leboncoin, ou encore pour s’inscrire sur un site Internet ou une application sans communiquer son email et son numéro de téléphone personnels. Pour l’heure disponible en Amérique du Nord, l’application devrait être accessible en Europe d’ici à la fin de l’année. Dans les différents pays où elle opère, Anonyome Labs travaille avec des opérateurs de téléphonie locale pour pouvoir fournir des numéros à leurs utilisateurs. Le système de messagerie électronique est entièrement géré par l’entreprise. Selon Steve Shillingford, éviter de trop diffuser ses informations de contact constitue l’une des règles d’or en matière de cybersécurité. « Sur le Dark Net, un numéro de téléphone se vend aujourd’hui plus cher qu’un numéro de sécurité sociale. Une fois que j’ai accès à votre numéro de téléphone, je peux connaître les cartes bancaires qui y sont attachées, votre lieu de résidence, mais aussi diverses informations sur vos relations personnelles, ou encore le parti politique auquel vous êtes affilié… » Or la plupart des sites Internet et applications demandent aujourd’hui systématiquement à ceux qui souhaitent s’inscrire de renseigner leurs informations de contact. Elles sont ensuite employées à des fins commerciales. « Par exemple, aux ÉtatsUnis, Zillow est l’une des principales applications autour de l’immobilier. Or lorsque vous entrez votre numéro de téléphone dans l’application, celui-ci est transmis à des agents, qui vous proposent ensuite des offres ciblées. »
ZÉRO ATTRIBUTION, ZÉRO CONNAISSANCE
L’application est conçue pour qu’il soit rigoureusement impossible de tisser le moindre lien entre l’identité réelle des utilisateurs et les avatars virtuels qu’ils utilisent grâce à celle-ci, comme l’explique Steve Shillingford. « La sécurité offerte à l’utilisateur s’articule autour de deux principes. D’abord, le principe de “zéro attribution”. Nous ne demandons jamais aucune information personnelle. Nul besoin de créer un nom d’utilisateur, ni de s’identifier. Il n’y a donc aucune connexion entre l’utilisateur en tant qu’individu et nous en tant que prestataires de services. Cependant, chaque fois qu’un appel est émis, qu’un texto ou un email est envoyé, cela génère des données. Ainsi, même si nous ne savons pas qui sont nos utilisateurs, il subsisterait malgré tout un moyen de tisser une relation entre un compte et un appareil, via l’adresse IP, par exemple. Ce qui nous mène au second principe : toutes les 24 heures, nous effaçons la totalité de ces données, afin qu’il ne reste aucune trace. C’est le principe de “zéro connaissance”. » La philosophie d’un service comme MySudo consiste à revenir aux fondamentaux du Net, qui était à son origine largement anonyme et gratuit. Au fil du temps, poussées par l’impératif de faire de l’argent, les entreprises opérant sur la Toile ont commencé à collecter des données sur leurs utilisateurs, à des fins publicitaires. « L’ironie, c’est qu’à leurs débuts, les fondateurs de Google ont écrit un article prenant position contre les recherches basées sur la publicité. Puis, au fil du temps, ils ont changé leur fusil d’épaule, et avec eux tous les grands acteurs du Net, qui ont bien compris que les internautes étaient prêts à céder leurs données en échange de services gratuits. » Face à la multiplication des scandales sur l’exploitation des données utilisateurs, la tendance peut-elle s’inverser? La progression de l’économie de l’abonnement, qui propose aux utilisateurs de payer des frais réguliers moyennant l’accès à un service, montre en tout cas que d’autres modèles d’affaires peuvent se mettre en place. Spotify a récemment passé la barre des 75 millions d’utilisateurs pour son service payant, et le service de télévision en streaming Hulu a lancé une offre qui permet de ne recevoir aucun contenu publicitaire moyennant 5 dollars par mois. Avec la sensibilisation croissante du public au sujet de la protection des données et la mise en place d’un arsenal législatif plus contraignant, comme le RGPD, il est probable, selon Steve Shillingford, qu’un nombre croissant d’entreprises digitales laisseront à l’avenir le choix à leurs utilisateurs. Ils auront ainsi la possibilité de céder leurs données pour accéder gratuitement au service ou de payer en échange de l’anonymat.