Aris on Thu, 11 Dec 2003 15:17:23 +0100 (CET) |
[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]
[nettime-fr] La securite de l'acces physique au SMSI |
La sécurité de l'accès physique au SMSI Une ménace de données privées pour les participants Un groupe international de chercheurs indépendants qui assistent au Sommet Mondial sur la Société de l'Information (SMSI) a revélé des failles techniques et légales importantes, concernant la protection des données personnelless, dans le système de sécurité employé pour contrôler l'accès au sommet de l'ONU. Le système non seulement ne garantit pas les niveaux élevés de sécurité promis mais offre également une possibilité de surveillance constante des représentants de la société civile. Pendant notre recherche, expliquet ils nous avons pu nous inscrire au sommet et obtenir une entrée officielle juste en montrant une fausse carte d'identité plastique et étant photographié (par une webcam), sans que d'autre document ou numéro de matricule soit requis pour obtenir le pass. Il a fallu tres peu de données personnelles pour produire une fause identité et donc pour s'enregistrer – càd. un nom de participant inscrit via le site du SMSI. Mais c'e n'est que la moitié de l'histoire. Les badges officiels du Sommet, qui sont en plastique et ont la taille d'une carte de crédit, cachent une « RFID smart card » [1] – une puce cachée qui peut communiquer son information par fréquence radio. Il est équipé d'un identifiant unique liée au participant qui le porte, et une étiquette de fréquence radio (RFID) qui peut « être lue » en passat a proximité d'un lecteur. Ces sondes peuvent être situées n'importe où, sur des distributeurs automatiques comme aux entrées d'un lieu spécifique de réunion, permettant l'identification et le cheminement à distance des participants, ou des groupes de participants, assistant à l'événement. Les données concernant la personne qui porte cette carte (détails, autorisation d'accès, information de compte, photographie personnelle etc...) ne sont pas stockées sur la puce elle-même, mais sont gérés par une base de données relationnelle centralisée. Cette solution permet au système centralisé de surveiller étroitement chaque déplacement des participants à l'entrée du centre de conférence, l'interaction humaine des participants et leur rapport, ou d'employer des techniques d'extraction de données. Le système peut potentiellement être étendu aux déplacements des participants dans le sommet et détecter leur présence à une session particulière. Puisque toutes les données personnelles sont stockées dans une base de données centralisée, n'importe quelle partie de la base de données peut être dupliquée localement, ou être transférée pour de futurs événements – par exemple le prochain sommet de WSIS accueilli par les autorités tunisiennes en 2005. Pendant le procédé d'enregistrement nous avons demandé d'un ton innocent des informations sur la future utilisation de la photo et toute autre information qui a été prise, et les fonctionnalités intégrées dans le badge en plastique. Aucune information ou politique publique sur les données privées ne nous a été communiquée en réponse de nos questions, ce qui aurait pu clarifier le but, le traitement ou la rétention des données rassemblées. Le personnel d'enregistrement évidemment n'a pas été correctement informé et n'a pas été formé. Notre souci principal est non seulement que les participants au Sommet ne sont pas au courrant de ces informations sur les fonctionnalités de ce système physique d'accès mis en place, mais que personne n'était capable de répondre aux questions sur la façon dont ces données personnelles vont être traitées après le sommet. Le grand problème est que le système ne garantit pas les niveaux élevés de la sécurité promis tout en présentant une possibilité de surveillance constante des représentants de la société civile, dot beaucoup critiquent les pour gouvernements et régimes. Le partage de ces données avec n'importe quel tiers mettrait les participants de la societe civile en danger, mais cette menace devient concrete dans le contexte du WSIS si on considére l'impact potentiel du partage des données rassemblées avec le gouvernement tunisien responsable d'organiser l'événement en 2005. Qu'un système comme celui ci soit mis en application sans transparence et ouverture de discussion à une vraie menace pour les participants eux-mêmes, et pour notre société de l'information dans l'ensemble. Genève, le 10 décembre 2003 Traduit de www.nodo50.org/wsis/ Source : Indymedia Suisse Romande http://swiss.indimedia.org < n e t t i m e - f r > Liste francophone de politique, art et culture liés au Net Annonces et filtrage collectif de textes. <> Informations sur la liste : http://nettime.samizdat.net <> Archive complèves de la listes : http://amsterdam.nettime.org <> Votre abonnement : http://listes.samizdat.net/wws/info/nettime-fr <> Contact humain : [email protected]