Sécurité -
S’appuyant sur les résultats d’une étude sur les usages des
smartphones par les utilisateurs français, la Cnil formule 10
préconisations devant contribuer à une meilleure protection des
terminaux et surtout des données personnelles. Seul couac, la confiance
affichée par la Cnil vis-à-vis des antivirus, qui sur mobile sont
souvent inutiles, inefficaces, et pire, indiscrets.
Les résultats d’une étude auprès d’utilisateurs de smartphone, et réalisée par Médiamétrie pour la Cnil, soulignent la diversité et le nombre croissant de données personnelles stockées sur les smartphones.
Pour l’autorité française de protection des informations personnelles, il est donc impératif d’accompagner ces usages, notamment en sensibilisant et en conseillant les utilisateurs - des utilisateurs qui à 65% estiment que leurs données ne sont pas bien protégées.
Des protections basiques mais négligées
Pour répondre à ces préoccupations, la Cnil préconise, outre la limitation des données stockées, dix mesures, pour la plupart de simple bon sens (ou d’hygiène informatique). Première préconisation : ne pas désactiver le code PIN et modifier le code par défaut (un conseil en matière de mot de passe qui s’applique aussi au PC).
« Ce conseil peut paraître évident, mais lorsqu’on regarde les sondages, on s’aperçoit qu’il ne l’est pas nécessairement [Ndlr : 27% des utilisateurs négligent ou méconnaissent le verrouillage par code » juge Stéphane Petitcolas, ingénieur au service expertise de la Cnil.
2- Utiliser un code de verrouillage automatique. Selon l’étude, seuls 31% des utilisateurs ont activé un code de verrouillage spécifique (en plus du code PIN de démarrage donc). Moins nombreux encore sont ceux qui ont mis en place un délai de verrouillage automatique (18%), car source de désagréments.
Ce verrouillage doit selon la Cnil permettre de complexifier (mais pas d’empêcher néanmoins…) l’accès aux données personnelles en cas de vol de l’appareil et de constituer une protection pour les 7 utilisateurs sur 10 qui n’éteignent jamais leur téléphone (le code PIN n’est dès lors plus une barrière).
3- Si possible, activer le chiffrement des données : « Quand vous allez sauvegarder les données de votre téléphone sur votre ordinateur, c’est une dissémination de données personnelles. Vous ajoutez un endroit supplémentaire où elles sont potentiellement récupérables » précise Stéphane Petitcolas.
L'antivirus un faux bon conseil !
4- Installation d’un antivirus. Tout en ajoutant que les programmes malveillants sont rares (« anecdotiques ») sur smartphone, la Cnil accorde un rôle important à ces outils. « La grande connectivité de ces appareils implique un risque potentiel de virus beaucoup plus important. »
Cette recommandation de la part du garant de la protection des données personnelles en France a de quoi laisser perplexe. Si des risques potentiels existent, ils sont cependant amplifiés par des fournisseurs de produits à des fins commerciales.
Par ailleurs, un audit d’AV-Test.org a démontré que la plupart des antivirus gratuits sur mobile étaient parfaitement inefficaces. Pire, ces produits, dont celui d’AVG, pourtant cité par la Cnil durant une conférence de presse, sont souvent très indiscrets à l’égard des données personnelles des utilisateurs.
5- Noter le numéro IMEI du téléphone, un numéro unique identifiant un appareil. Celui-ci sera utile pour bloquer le smartphone en cas de vol ou de perte, le rendant inutilisable en France (à terme au niveau mondial) sur le réseau d’un opérateur. Le numéro IMEI peut être obtenu directement depuis le téléphone en tapant *#06#
Attention aux données accédées par les applications
La seconde vague de conseils de la Cnil porte sur les données de géolocalisation. La première préconisation dans ce secteur est toutefois plus générale puisqu’il s’agit de ne pas télécharger d’applications de sources inconnues (une option d’Android bloque l'installation de sources inconnues).
2- Vérifier les données auxquelles l’application installée aura accès. Sur ce point, 47% des utilisateurs sondés par Médiamétrie déclarent le faire systématiquement (39% parfois et 14% jamais). Valider l’installation vaut acceptation...
3- Lire les conditions d’utilisation d’un service de géolocalisation. De manière générale, ils ne seraient que 29% à toujours lire ces CGU (31% ne le font jamais, et 40% parfois).
4- Régler les paramètres du téléphone liés à la géolocalisation. Selon l’OS, ce paramétrage peut être géré par application ou seulement au niveau du système, c'est-à-dire de manière globale. « N’activez pas la géolocalisation sur votre téléphone si vous n’en avez pas besoin. Ne l’activez qu’au moment où vous souhaitez l’utiliser » prévient l’ingénieur du service expertise de la Cnil.
Des contrôles des opérateurs en 2012
En 2012, la Cnil compte s’impliquer plus encore sur cette problématique de la vie privée sur smartphone. Elle a pour cela défini un plan d’actions. Une nouvelle étude va ainsi être réalisée. Elle portera en particulier sur les évolutions technologiques attendues ces prochaines années, les business model des acteurs (dont les pratiques des éditeurs d’applications mobiles) et la régulation.
D’autres préconisations en termes de bonnes pratiques seront également émises en 2012. Des tutoriels seront publiés pour aider les utilisateurs à bien paramétrer leurs smartphones. Enfin un programme de contrôles devrait être mené auprès des opérateurs afin d’auditer leurs pratiques en matières de gestion des données personnelles.
http://www.businessmobile.fr/actualites/les-10-conseils-de-la-cnil-pour-proteger-les-donnees-personnelles-sur-smartphone-39766502.htm#xtor=EPR-100
Aucun commentaire:
Enregistrer un commentaire