Extrait d’une déclaration de confidentialité sur le site Web d’une entreprise :
Nous protégeons vos données personnelles en disposant d’une sécurité adaptée à leur nature et aux dommages qui pourraient résulter d’une violation de la sécurité. Malheureusement, la transmission d’informations via Internet n’est pas totalement sécurisée. Nous ferons de notre mieux pour protéger vos données personnelles, mais nous ne pouvons garantir la sécurité de vos données transmises à notre site ; toute transmission se fait à vos propres risques et vous devez prendre les mesures appropriées face à ce risque, par exemple en utilisant une connexion Internet protégée par mot de passe.
Quelqu’un d’autre est-il impressionné par la manière dont cela reporte la responsabilité sur nous ? Les entreprises ne devraient-elles pas être tenues de fournir un cryptage puissant et d’autres mesures pour protéger les données en transit, au lieu de nous dire simplement “d’utiliser une connexion sécurisée” ? On a l’impression qu’elles abandonnent la lutte pour la sécurité sur Internet. Qu’en pensez-vous — est-ce que je réagis excessivement, ou est-ce une approche faible pour la protection des données ? En tant que bénévole en protection des données pour une petite association caritative, je pense simplement que ce genre de déclaration ne serait normalement pas suffisant.
Ils disent qu’ils ont une sécurité appropriée pour la nature des données, ce qui implique probablement le cryptage. Ils pourraient certainement ajouter plus de détails, mais je ne vois pas un gros problème avec cet avis — les fournisseurs peuvent avoir toutes les fonctionnalités de sécurité du monde, mais si les utilisateurs ne prennent pas des mesures de base comme la double authentification, des versions à jour des logiciels, s’assurer d’être sur un réseau Wi-Fi sécurisé, etc., ça n’a pas vraiment d’importance.
La phrase est formulée de manière plutôt négative cependant, ça je suis d’accord.
Ils se contentent de dire que si vous utilisez un Wi-Fi non crypté ou non fiable, ou si vous ignorez les avertissements “Cette connexion n’est pas sécurisée” et que vous entrez quand même vos données, même si vous le faites sur le site de la société, elles peuvent encore être lues par un attaquant sans que la société en soit responsable.
Ils expliquent simplement qu’il est impossible de rendre quelque chose 100% sécurisé.
Vous réagissez de façon excessive. C’est leur façon de dire “nous ne contrôlons pas votre ordinateur, le réseau auquel vous êtes connecté, ou le trafic entre vous et nous. Bien que nous imposions une connexion sécurisée, il y a beaucoup de variables que nous ne contrôlons pas, et donc nous ne sommes pas responsables des erreurs ou des violations en cours de route.”
Pensez au nombre de personnes qui se connectent gratuitement à un Wi-Fi public, protégé par mot de passe ou non, et qui n’utilisent même pas de VPN. Même lorsqu’ils utilisent un VPN, tout réseau que vous ne contrôlez pas est un risque, et tout réseau public est pratiquement à éviter. Il serait très facile pour moi de configurer un routeur Wi-Fi à l’extérieur d’un Starbucks, de l’appeler ‘WiFi Gratuit Starbucks’, et de rediriger tous les sites bancaires courants vers mes propres versions spoofées. Et qui blâmeriez-vous si cela arrivait ? La banque, évidemment. Vous ne penseriez même pas à la connexion à laquelle vous étiez à ce moment-là.
Donc, en termes standards, les conditions générales soulignent les risques et déclinent leur responsabilité, car il n’y a rien qu’ils puissent faire, et cela reste de votre responsabilité en fin de compte.
Nous protégeons vos données personnelles en disposant d’une sécurité appropriée
Des mesures de sécurité appropriées, c’est tout ce que le RGPD exige.
transmission d’informations via Internet n’est pas totalement sécurisée
Mensonger. Techniquement vrai, mais probablement pas utile à mentionner.
nous ne pouvons garantir la sécurité de vos données
Évidemment vrai, mais probablement pas utile à mentionner.
toute transmission se fait à vos propres risques et vous devez prendre les mesures appropriées face à ce risque, par exemple en utilisant une connexion Internet protégée par mot de passe.
C’est ici que les choses deviennent étranges, et que la “peur” commence à se déplacer vers l’utilisateur. De plus, ce conseil d’une “connexion Internet protégée par mot de passe” ne paraît pas correct.
Mais je ne pense pas que ce genre de vocabulaire ait une quelconque validité dans un contexte RGPD. Cela ressemble à une clause de responsabilité ultime voulue par un avocat américain. Mais les obligations RGPD (comme la mise en place de mesures de sécurité appropriées) ne peuvent pas être renoncées.
Une interprétation plus charitable de cette partie serait qu’elle essaie d’éduquer les utilisateurs sur les risques généraux des sites en ligne. Les gens devraient être conscients de ce qu’ils mettent en ligne, même si ce n’est pas visible par tous. Il y a toujours un risque résiduel que le service soit piraté ou qu’un employé devienne fou, et que les informations soient publiées ou abusées d’autres manières. Mais dans ce cas, je proposerais d’autres conseils que d’utiliser une “connexion Internet protégée par mot de passe” :
offrir de l’aide sur les bonnes pratiques de mot de passe, comme le MFA basé sur TOTP. Préférablement, proposer aussi des connexions sans mot de passe comme Passkeys. Je suis partagé sur une fonction comme « se connecter avec Google/Apple/Facebook/GitHub » parce qu’il y a des conséquences négatives pour la vie privée, mais il y a un vrai avantage en sécurité si un site n’a pas à gérer des secrets comme un mot de passe.
aider les utilisateurs à améliorer leur littératie médiatique. Tout comme nous ne devrions pas faire confiance à tout ce que quelqu’un dit sur Internet, nous devrions être attentifs à ce que nous divulguons sur un site.
utiliser une connexion Internet sécurisée par mot de passe.
Ils se contentent de dire que si vous utilisez un Wi-Fi non crypté ou non fiable ou si vous ignorez les avertissements “Cette connexion n’est pas sécurisée” et que vous entrez quand même vos données, même si vous le faites sur le site de la société, elles peuvent encore être lues par un attaquant sans que la société en soit responsable.
C’est vrai lorsqu’on ignore les erreurs de certificat, ce que les navigateurs ont heureusement rendu plus difficile pour les utilisateurs non techniques.
Mais si le site Web est correctement configuré avec TLS (HTTPS), alors peu importe si le WiFi est crypté ou non fiable. Un adversaire en attaque intermédiaire ne pourra pas voir quelles pages l’utilisateur visite, ni quelles informations il a saisies. À part les données de connexion (par ex. adresses IP), l’attaquant ne pourra que voir les noms de domaine.
Je recommanderais toujours d’utiliser un VPN dans cette situation précise, mais uniquement pour refuser cette dernière information aux éventuels attaquants, et non parce que cela améliorerait la sécurité lors de l’utilisation d’un site web.
Les navigateurs de l’utilisateur ne pourraient-ils pas afficher beaucoup d’erreurs de certificat si vous essayez une attaque man-in-the-middle comme ça ?
Je me souviens, avant le RGPD, avoir rencontré des individus qui allaient dans un cybercafé avec des keyloggers, mais quand quelque chose tournait mal, c’était évident la faute des sites qu’ils visitaient. D’après ce que j’ai entendu de certains cercles, ce genre de stupidités a connu une résurgence, mais avec plus de complications car ces personnes savent qu’elles peuvent crier au RGPD quand quelqu’un essaie de leur expliquer du bon sens.
Je le vois plutôt comme un moyen de se couvrir contre ce genre de fausses accusations, pour qu’ils puissent l’utiliser comme un argument et fermer plus facilement ces plaintes inutiles (ou du moins essayer).
Tu sais, j’avais presque inclus une clause précisant que c’était purement un exemple et pas vraiment si simple, me demandant si quelqu’un questionnerait la technicité derrière ça… mais j’ai décidé de ne pas le faire. Ma faute
Donc, oui - mais le point essentiel, c’est que tout réseau auquel tu te connectes est contrôlé par quelqu’un, et il est très facile de mettre en place un réseau qui semble fourni par quelqu’un en qui on a confiance, même si ce n’est pas le cas.
Et si je te disais, “Hé, connecte-toi à ce réseau douteux, tu seras bien parce que ton navigateur te protègera”, tu ferais probablement marche arrière, non ? Peu importe le fait de te connecter réellement et de faire des opérations bancaires en ligne avec.
En réalité, même si tu fais confiance au réseau, tu ne peux pas faire confiance aux autres utilisateurs, c’est pourquoi l’utilisation d’un VPN est indispensable de nos jours lorsque tu n’es pas sur ton WiFi personnel.
Ce qui revient à mon vrai point : tous ces sites qui s’exonèrent de la responsabilité autant que possible disent simplement “nous ne contrôlons pas cela, quelqu’un d’autre le fait, et nous ne savons pas si nous pouvons leur faire confiance… donc nous ne serons pas responsables de ce qui échappe à notre contrôle”.
