Quatre achats... et vous êtes repérés !
Il suffit d’avoir réalisé 4 achats avec sa carte de crédit pour être identifié nommément dans un fichier pourtant anonymisé de plus d’un million d’utilisateurs. Des chercheurs du MIT l’ont démontré sur un exemple incluant 10 000 boutiques d’un pays de l’OCDE. Une nouvelle preuve des risques d’utilisation abusive de données privées. Mais des solutions émergent.
C’est formidable l’Open data ! Des millions de données collectées sur le Web - dûment anonymisées, rassurez-vous - et qui permettent de créer ou d’améliorer des services (dans les transports ou les réseaux mobiles, la santé…), d’optimiser la stratégie commerciale d’une entreprise et même de faire de la recherche scientifique. Sauf que l’anonymat est très relatif.
C’est ce qu’ont montré des chercheurs du MIT (Media Lab), en se procurant un fichier de transactions réalisées avec des cartes de crédit par 1,1 million d’utilisateurs d’un pays de l’OCDE. Un fichier anonyme : pas de nom, pas de numéro de compte, ni aucun identifiant évident. Et pourtant, ces consommateurs qui ont dépensé leur argent dans 10 000 boutiques pendant 3 mois sont facilement repérables : à partir de 4 achats, ils sont identifiés dans 90 % des cas.
Impossible anonymisation des données ?
Le principe est que pour retrouver la trace de M. Untel dans le fichier, il suffit de savoir qu’il est passé par tel restaurant et tel marchand de chaussures à des dates connues. Avec 4 achats, et même moins, il s’avère qu’une seule personne répond aux critères. Ce qui donne accès immédiatement aux autres achats de M. Untel et à leurs montants. Ces résultats sont publiés cette semaine dans la revue Science, qui propose tout un dossier consacré à la protection des données privées.
On pourrait penser que pour éviter l’utilisation abusive des données collectées sur le Web, il suffit d’appliquer deux principes simples. Prévenir l’utilisateur quand on lui soutire des informations privées, et ne les transférer ailleurs qu’avec son consentement. Des principes largement dépassés, affirme un autre article de Science : quel internaute, pressé et impatient, prend le temps de lire - et de comprendre - la notice relatant la politique de protection de données du site qu’il consulte, avant de cocher la case qui donne son accord à leur utilisation ?
Restreindre l’usage des données avec "httpa"
Une solution, plaide l’auteur de l’article, est de donner à chaque internaute les moyens de contrôler l’usage que l’on fait des données qu’il a livrées. La technologie pourrait permettre de le faire, grâce à une variante du protocole http, baptisé httpa (accountable http). Le principe est que l’internaute peut imposer des restrictions d’usage à ses données – avec un log in – et que ces restrictions se propagent partout où ces données sont reprises. De plus, le propriétaire de ces données peut à tout moment faire un audit en identifiant ceux qui les ont utilisées et ce qu’ils en ont fait.
Le protocole httpa est développé au Decentralized Information Group du MIT, dirigé par Tim Berners-Lee, cofondateur du Web. Il a été testé avec succès à petite échelle. Reste à savoir s’il est transposable à l’échelle d’Internet. Les chercheurs ont par ailleurs identifié le point faible du système : le contrôle de l’usage des données nuit lui-même à l’anonymat sur le Web… Mais ils ont une idée : préserver l’anonymat a priori, et ne révéler l’identité d’un utilisateur que s’il enfreint la règle.
Thierry Lucas
Quatre achats... et vous êtes repérés !
Tous les champs sont obligatoires
0Commentaire
Réagir