Aris on Thu, 11 Dec 2003 15:17:23 +0100 (CET)


[Date Prev] [Date Next] [Thread Prev] [Thread Next] [Date Index] [Thread Index]

[nettime-fr] La securite de l'acces physique au SMSI


La sécurité de l'accès physique au SMSI
Une ménace de données privées pour les participants

Un groupe international de chercheurs indépendants qui assistent au
Sommet Mondial sur la Société de l'Information (SMSI) a revélé des
failles techniques et légales importantes, concernant la protection des
données personnelless, dans le système de sécurité employé pour
contrôler l'accès au sommet de l'ONU.

Le système non seulement ne garantit pas les niveaux élevés de sécurité
promis mais offre également une possibilité de surveillance constante
des représentants de la société civile. Pendant notre recherche,
expliquet ils nous avons pu nous inscrire au sommet et obtenir une
entrée officielle juste en montrant une fausse carte d'identité
plastique et étant photographié (par une webcam), sans que d'autre
document ou numéro de matricule soit requis pour obtenir le pass. Il a
fallu tres peu de données personnelles pour produire une fause identité
et donc pour s'enregistrer – càd. un nom de participant inscrit via le
site du SMSI.

Mais c'e n'est que la moitié de l'histoire.

Les badges officiels du Sommet, qui sont en plastique et ont la taille
d'une carte de crédit, cachent une « RFID smart card » [1] – une puce
cachée qui peut communiquer son information par fréquence radio. Il est
équipé d'un identifiant unique liée au participant qui le porte, et une
étiquette de fréquence radio (RFID) qui peut « être lue » en passat a
proximité d'un lecteur.

Ces sondes peuvent être situées n'importe où, sur des distributeurs
automatiques comme aux entrées d'un lieu spécifique de réunion,
permettant l'identification et le cheminement à distance des
participants, ou des groupes de participants, assistant à l'événement.
Les données concernant la personne qui porte cette carte (détails,
autorisation d'accès, information de compte, photographie personnelle
etc...) ne sont pas stockées sur la puce elle-même, mais sont gérés par
une base de données relationnelle centralisée.

Cette solution permet au système centralisé de surveiller étroitement
chaque déplacement des participants à l'entrée du centre de conférence,
l'interaction humaine des participants et leur rapport, ou d'employer
des techniques d'extraction de données. Le système peut potentiellement
être étendu aux déplacements des participants dans le sommet et détecter
leur présence à une session particulière. Puisque toutes les données
personnelles sont stockées dans une base de données centralisée,
n'importe quelle partie de la base de données peut être dupliquée
localement, ou être transférée pour de futurs événements – par exemple
le prochain sommet de WSIS accueilli par les autorités tunisiennes en 2005.

Pendant le procédé d'enregistrement nous avons demandé d'un ton innocent
des informations sur la future utilisation de la photo et toute autre
information qui a été prise, et les fonctionnalités intégrées dans le
badge en plastique. Aucune information ou politique publique sur les
données privées ne nous a été communiquée en réponse de nos questions,
ce qui aurait pu clarifier le but, le traitement ou la rétention des
données rassemblées. Le personnel d'enregistrement évidemment n'a pas
été correctement informé et n'a pas été formé. Notre souci principal est
non seulement que les participants au Sommet ne sont pas au courrant de
ces informations sur les fonctionnalités de ce système physique d'accès
mis en place, mais que personne n'était capable de répondre aux
questions sur la façon dont ces données personnelles vont être traitées
après le sommet.

Le grand problème est que le système ne garantit pas les niveaux élevés
de la sécurité promis tout en présentant une possibilité de surveillance
constante des représentants de la société civile, dot beaucoup
critiquent les pour gouvernements et régimes. Le partage de ces données
avec n'importe quel tiers mettrait les participants de la societe civile
en danger, mais cette menace devient concrete dans le contexte du WSIS
si on considére l'impact potentiel du partage des données rassemblées
avec le gouvernement tunisien responsable d'organiser l'événement en 2005.

Qu'un système comme celui ci soit mis en application sans transparence
et ouverture de discussion à une vraie menace pour les participants
eux-mêmes, et pour notre société de l'information dans l'ensemble.

Genève, le 10 décembre 2003
Traduit de www.nodo50.org/wsis/

Source : Indymedia Suisse Romande
http://swiss.indimedia.org





 
 
< n e t t i m e - f r >
 
Liste francophone de politique, art et culture liés au Net  
Annonces et filtrage collectif de textes.
 
<>  Informations sur la liste : http://nettime.samizdat.net
<>  Archive complèves de la listes : http://amsterdam.nettime.org
<>   Votre abonnement : http://listes.samizdat.net/wws/info/nettime-fr
<>  Contact humain : [email protected]