Google et notre intimité
Par Alexandre VERNO, lundi 15 janvier 2007 à 01:45 :: General :: #45 :: rss
Depuis quelques années, les services de Google ont montré des failles de sécurité permettant d’accéder aux données personnelles de leurs utilisateurs. Si ce phénomène est commun dans le monde informatique, leur fréquence semble augmenter dernièrement et la convergence des services et leur interconnexion rendent le problème inquiétant. Qu’en est-il réellement de notre vie privée ?Un programme informatique d’une certaine complexité comporte presque inévitablement des failles qui offrent un accès à une utilisation anormale de ceux-ci. Sur des logiciels en ligne, les failles peuvent permettre de récupérer tout ou partie des données des utilisateurs. En ce qui concerne l’histoire de Google, ont été découvertes (et depuis corrigées) des failles permettant d’accéder à n’importe quel compte Gmail (10/2005), récupérer votre liste de contact Gmail (01/2007) ou encore voir et modifier vos documents partagés, de lire partiellement vos mails, voir votre page d’accueil personnalisée (12/01/07)... Cette liste fait froid dans le dos quand on sait que Google ne communique quasiment jamais sur le sujet contrairement à Microsoft , ainsi le nombre de failles réelles est sûrement plus important. D’autant que ces failles ont, selon la firme de Mountain View, toutes été découvertes par de « bons » pirates qui ont prévenu Google avant de rendre l’information publique. Maintenant rien ne dit que ces failles n’aient pas été auparavant exploitées par des pirates malveillant et qu’ils ne continuent à en exploiter d’autre.
Bref, au-delà de ces risques inhérents aux métiers de l’informatique, il importe de se demander si une solution « tout en un » est bonne pour la protection de nos données personnelles. En effet la tendance est au regroupement et à l’interconnexion des services, pour Google, un seul mot de passe permet l’accès à tous les services (Gmail, Blogspot, Reader, Calendar, Spreadsheet, Docs… demain nos comptes bancaires avec Google Checkout). Il semble donc important pour assurer la pérennité de nos données et leur intégrité de multiplier les fournisseurs de services comme on multiplie les verrous, la quantité étant fonction de la sensibilité de vos données.
Le deuxième volet de la protection des données privées porte sur le pan légal du problème. En effet lors de son lancement en 2004, Gmail avait fait l’objet de plainte par Privacy International auprès des instances européennes or depuis cette annonce plus un mot, pourtant les textes de la CNIL et ceux de Gmail semble bien peu compatibles, en particulier en matière d’effacement des données personnelles sur les serveurs de Google. Néanmoins on touche du doigt ici un problème plus large qui est celui de l’harmonisation EU-US des règles sur la protection des données personnelles qui adopte une attitude autorégulatrice de l’autre coté de l’atlantique contrairement à nos parlementaires (voir la notion de Safe Harbour).
La maîtrise de l’information étant l’arme économique des temps présent et futur il serait sage que nos législateurs prennent des dispositions pour prévenir des situations de monopole informationnel dont le stockage physique serait dépendant d’une autorité étrangère. Donnons nous les moyens d’appliquer nos textes !
Google and our private life
Since the last years, Google’s services have shown security holes giving access to personal data of their users. If this phenomenon is common in the software world, their frequency seems to be increasing lately and the merge of services and their interconnection makes the problem disturbing. What is the reality of our private life in the Google world?
Complex software almost inevitably includes vulnerability which offers an access to an abnormal use of the software. Vulnerability for online software can allow recovering some or all of your data. When looking at Google’s past, vulnerability were discovered (and since corrected) that gave access to any Gmail account (10/2005), that gave your entire list of Gmail contact (01/2007) or that allowed to see and modify your shared documents, read partially your mail, see your personalized homepage (12/01/07)... This list sends shivers down the spine especially when knowing that Google almost never communicates on the subject contrary to Microsoft, thus the number of real vulnerability is surely more important. All the more so since these vulnerability were all discovered by “good” hackers which warned Google before disclosing the information. Still nothing tells us that these holes were not used before by malevolent hackers and that they may keep using other unnoticed holes.
Short and sweet, these risks are inherent in the world of software and will always be. Now it is important to ask ourselves whether a solution all-in-one is good for the protection of our personal data. Indeed the tendency is on the gathering and the interconnection of the services. For Google, only one password gives access to all the services (Gmail, Blogspot, Reader, Calendar, Spreadsheet, Docs… and partial information about our bank accounts with Google Checkout). Thus it seems important to ensure the durability and the integrity of our data through the use of multiple services providers likewise you multiply your door bolts, the amount being function of your data sensitivity.
The second matter on private data protection is about its legal side of the problem. Indeed during its launching in 2004, Gmail had been subject to complain by Privacy International near the European authorities and since this announcement nothing transpired, however texts of the French CNIL and those of Gmail privacy statements are quite not compatible, in particular in regards to deletion of personal data on the Google’s offline servers. However we dig up here a larger problem, the one of EU-US harmonization of the rules about personal data protection. Those rules are liberal and market regulated in the US opposing to the EU regulated position (see the concept of Safe Harbour).
The control of information being the economic weapon of present and future times, it would be wise that our legislators make provisions to prevent situations of informational monopoly on which physical storage would be dependent on a foreign authority. Let us give us the means to enforce our laws!
Bref, au-delà de ces risques inhérents aux métiers de l’informatique, il importe de se demander si une solution « tout en un » est bonne pour la protection de nos données personnelles. En effet la tendance est au regroupement et à l’interconnexion des services, pour Google, un seul mot de passe permet l’accès à tous les services (Gmail, Blogspot, Reader, Calendar, Spreadsheet, Docs… demain nos comptes bancaires avec Google Checkout). Il semble donc important pour assurer la pérennité de nos données et leur intégrité de multiplier les fournisseurs de services comme on multiplie les verrous, la quantité étant fonction de la sensibilité de vos données.
Le deuxième volet de la protection des données privées porte sur le pan légal du problème. En effet lors de son lancement en 2004, Gmail avait fait l’objet de plainte par Privacy International auprès des instances européennes or depuis cette annonce plus un mot, pourtant les textes de la CNIL et ceux de Gmail semble bien peu compatibles, en particulier en matière d’effacement des données personnelles sur les serveurs de Google. Néanmoins on touche du doigt ici un problème plus large qui est celui de l’harmonisation EU-US des règles sur la protection des données personnelles qui adopte une attitude autorégulatrice de l’autre coté de l’atlantique contrairement à nos parlementaires (voir la notion de Safe Harbour).
La maîtrise de l’information étant l’arme économique des temps présent et futur il serait sage que nos législateurs prennent des dispositions pour prévenir des situations de monopole informationnel dont le stockage physique serait dépendant d’une autorité étrangère. Donnons nous les moyens d’appliquer nos textes !
Since the last years, Google’s services have shown security holes giving access to personal data of their users. If this phenomenon is common in the software world, their frequency seems to be increasing lately and the merge of services and their interconnection makes the problem disturbing. What is the reality of our private life in the Google world?
Complex software almost inevitably includes vulnerability which offers an access to an abnormal use of the software. Vulnerability for online software can allow recovering some or all of your data. When looking at Google’s past, vulnerability were discovered (and since corrected) that gave access to any Gmail account (10/2005), that gave your entire list of Gmail contact (01/2007) or that allowed to see and modify your shared documents, read partially your mail, see your personalized homepage (12/01/07)... This list sends shivers down the spine especially when knowing that Google almost never communicates on the subject contrary to Microsoft, thus the number of real vulnerability is surely more important. All the more so since these vulnerability were all discovered by “good” hackers which warned Google before disclosing the information. Still nothing tells us that these holes were not used before by malevolent hackers and that they may keep using other unnoticed holes.
Short and sweet, these risks are inherent in the world of software and will always be. Now it is important to ask ourselves whether a solution all-in-one is good for the protection of our personal data. Indeed the tendency is on the gathering and the interconnection of the services. For Google, only one password gives access to all the services (Gmail, Blogspot, Reader, Calendar, Spreadsheet, Docs… and partial information about our bank accounts with Google Checkout). Thus it seems important to ensure the durability and the integrity of our data through the use of multiple services providers likewise you multiply your door bolts, the amount being function of your data sensitivity.
The second matter on private data protection is about its legal side of the problem. Indeed during its launching in 2004, Gmail had been subject to complain by Privacy International near the European authorities and since this announcement nothing transpired, however texts of the French CNIL and those of Gmail privacy statements are quite not compatible, in particular in regards to deletion of personal data on the Google’s offline servers. However we dig up here a larger problem, the one of EU-US harmonization of the rules about personal data protection. Those rules are liberal and market regulated in the US opposing to the EU regulated position (see the concept of Safe Harbour).
The control of information being the economic weapon of present and future times, it would be wise that our legislators make provisions to prevent situations of informational monopoly on which physical storage would be dependent on a foreign authority. Let us give us the means to enforce our laws!
![[T]](http://static.technorati.com/pix/icn-talkbubble.gif)
Commentaires / Comments
Aucun commentaire pour le moment / No comment so far.
Ajouter un commentaire / Add a comment
Les commentaires pour ce billet sont fermés.