La première phase du développement d'Internet a duré jusqu'au début des années 1990. Pendant cette période, le réseau a été créé, débogué et s'est étendu dans le monde entier. Sa croissance n'a aucunement été entravée par les préoccupations relatives à la sécurité des données ou à la confidentialité. Jusqu'aux années 1990, la course se déroulait sur le terrain de la connectivité.
La connectivité impliquait pour les internautes de pouvoir se rendre en ligne et d'utiliser Internet indépendamment de leur situation géographique. En raison de l'interopérabilité implicite d'Internet (signifiée par la partie « inter » du mot), le réseau a pu se développer rapidement à l'aide de diverses technologies, comme les modems à commutation passant par les lignes téléphoniques ordinaires, les modems par câble conçus à l'origine pour la télévision et transmettant Internet par câble coaxial, à l'Ethernet et, plus tard, aux connexions par fibre optique et Wi-Fi.
Les années 1990 commencèrent à voir une large utilisation d'Internet, à des fins qui dépassaient d'ailleurs ses origines académiques. Les premiers pionniers du web, comme Netscape, ont compris que le potentiel du commerce électronique était gigantesque, mais qu'il peinerait à prendre son essor si les internautes ne pouvaient pas avoir confiance en la sécurité des transactions en ligne.
L'introduction du protocole SSL en 1994 vit Internet passer à une deuxième phase dans laquelle la sécurité devenait primordiale. La sécurisation du web (et plus généralement d'Internet) a contribué à la ruée vers les domaines et à la naissance du monde en ligne sécurisé dans lequel nous vivons aujourd'hui. Cet accroissement de la sécurité fut toutefois perçu par certains comme une garantie de confidentialité. À tort.
Les internautes se sentent aujourd'hui en sécurité pour réaliser leurs achats en ligne, lire les actualités, faire des recherches sur leurs maladies et rechercher un partenaire de vie, car le chiffrement empêche les éventuels espions de voir ce qu'ils font et leur garantit que les sites web qu'ils visitent sont bien ceux qu'ils prétendent être. Mais cette technologie ne leur offre aucune garantie de confidentialité. Le site web que vous visitez connaît, au minimum, l'adresse IP de votre connexion Internet.
En outre, même avec le chiffrement, un espion bien placé peut au minimum apprendre les noms des sites web sur lesquels vous vous rendez, car ces informations fuitent de protocoles qui n'ont pas été conçus pour préserver la confidentialité.
Les utilisateurs qui souhaitent rester anonymes sur Internet se tournent donc vers d'autres technologies, comme le réseau Tor ou les VPN. Toutefois, rester anonyme sur un site web où l'on fait ses achats ou le site de réservation en ligne d'une compagnie aérienne n'a aucun sens. Dans ces cas de figure, l'entreprise avec laquelle vous traitez saura qui vous êtes, car vous lui communiquez votre adresse personnelle, votre nom, votre numéro de passeport, etc. Vous souhaitez qu'elle sache qui vous êtes.
Le concept de confidentialité repose ainsi sur la nuance : vous souhaitez rester anonyme pour les espions, tout en vous assurant que les commerçants sachent où vous vivez.
La phase de connectivité d'Internet vous a permis de vous connecter à un ordinateur situé n'importe où dans le monde aussi facilement qu'à une machine présente dans votre propre ville. La phase de sécurité d'Internet a résolu le problème de confiance des utilisateurs, en leur permettant désormais de transmettre des informations à une compagnie aérienne ou à un commerçant de manière sécurisée. L'association de ces deux phases a donné naissance à un Internet dans lequel vous pouvez avoir confiance en matière de transmission de vos données, mais sur lequel vous n'avez que peu de contrôle sur la destination finale de ces données.
Phase 3
Un citoyen français peut tout aussi bien acheter des biens sur un site web espagnol que sur un site nord-américain. Dans les deux cas, le commerçant connaîtra le nom et l'adresse française à laquelle livrer ces achats. Il s'agit là d'un véritable casse-tête pour les citoyens soucieux de leur confidentialité. Internet a engendré une incroyable plate-forme mondiale en ce qui concerne le commerce, les actualités et l'information (elle permet, par exemple, à un citoyen français de rester facilement en contact avec sa famille habitant en Côte d'Ivoire, et même de consulter les actualités locales depuis la France).
Toutefois, lorsque ce dernier procède à des achats en ligne, un espion (comme un fournisseur d'accès Internet, un propriétaire de café ou une agence de renseignement) pourrait savoir sur quel site web ce citoyen les a effectués.
En outre, la nature même d'Internet implique que vos informations personnelles (et les miennes) sont dispersées à travers le monde. Les différents pays présentent d'ailleurs des règles différentes quant à la façon dont ces données doivent être stockées et partagées. De même, les pays et les régions disposent d'accords de partage de données permettant d'autoriser les transferts transfrontaliers d'informations privées relatives aux citoyens.
Les inquiétudes concernant l'écoute illicite et la destination des données ont donné lieu au monde dans lequel nous vivons aujourd'hui : un monde dans lequel les préoccupations relatives à la confidentialité passent progressivement au premier plan, principalement en Europe, mais aussi dans de nombreux autres pays.
En outre, les perspectives économiques et la flexibilité offertes par l'approche SaaS et les applications dans le cloud ont rendu particulièrement logiques les transferts de données vers un nombre limité de grands datacenters (parfois nommés à tort « régions ») chargés de traiter les données d'utilisateurs provenant du monde entier. Dans l'ensemble, il s'agit là du monde à l'ère d'Internet : connectivité universelle, sécurité généralisée et partage de données autorisé par le biais d'accords transfrontaliers.
Cette utopie apparente s'est vue étouffée par la fuite de documents secrets décrivant les relations entre la NSA américaine (et ses partenaires des « Five Eyes », l'alliance des services de renseignement de cinq pays) et certains grands opérateurs Internet, ainsi que par les révélations montrant que les agences de renseignement recueillaient des données à partir de points d'étranglement d'Internet. Ces annonces ont attiré l'attention du public sur le fait que leurs données pouvaient, dans certains cas, être consultées par des agences de renseignement étrangères.
Très vite, les grands datacenters situés dans des pays lointains ont perdu de leur aura et les gouvernements (de même que les citoyens) ont commencé à exiger le contrôle de leurs données. Il s'agit là de la troisième phase d'Internet. La confidentialité rejoint la connectivité universelle et la sécurité en tant que valeur fondamentale du réseau.
Mais que signifie exactement le contrôle des données ou la confidentialité ? Les différents gouvernements ont des idées et des exigences différentes sur le sujet, susceptibles de varier selon les ensembles de données. Certains pays sont convaincus que l'unique moyen de contrôler les données est de les conserver à l'intérieur du pays, au sein duquel ils pensent pouvoir contrôler l'accès à ces dernières. D'autres pays estiment qu'ils peuvent gérer les risques en imposant des restrictions visant à empêcher certains gouvernements ou certaines entreprises d'accéder aux données. La complexification des défis réglementaires ne fait que commencer.
Il s'agira d'un défi énorme pour les entreprises qui ont bâti leur activité sur l'agrégation des informations des citoyens afin de cibler la publicité, mais également pour quiconque propose un service Internet. Tout comme les entreprises ont dû faire face au fléau des attaques DDoS et du piratage informatique (et donc se tenir au courant des dernières technologies de chiffrement), elles devront fondamentalement stocker et traiter les données de leurs clients de différentes manières, en fonction de leur pays.
L'Union européenne, en particulier, préconise une approche globale de la confidentialité. Si elle a déjà mis en place des principes de protection des données depuis 1995, la mise en œuvre du règlement général sur la protection des données (RGPD) de l'UE en 2018 a donné naissance à une nouvelle ère en matière de confidentialité en ligne. Le RGPD impose des limites quant à la manière dont les données personnelles des résidents de l'UE peuvent être recueillies, stockées, supprimées, modifiées et traitées par un moyen ou un autre.
Le RGPD comprend certaines exigences, notamment des dispositions relatives à la façon dont les données personnelles des résidents européens doivent être protégées lorsque ces dernières quittent l'UE. Si les États-Unis et l'UE ont travaillé ensemble pour élaborer un ensemble d'engagements volontaires visant à faciliter le transfert de données entre les deux pays pour les entreprises, ce cadre (le « Privacy Shield ») a été invalidé l'été dernier. En conséquence, les entreprises se demandent actuellement comment transférer des données hors de l'UE, tout en se conformant aux exigences du RGPD. Les recommandations récemment émises par le Comité Européen de la Protection des Données (CEPD), qui obligent les exportateurs de données à évaluer la législation des pays tiers, à déterminer si cette dernière protège adéquatement la confidentialité et, si nécessaire, à obtenir des garanties supplémentaires de la part des importateurs de données, n'ont fait qu'ajouter aux préoccupations des entreprises.
Cette inquiétude quant à l'existence ou non de contrôles adéquats sur les données afin de répondre aux préoccupations des organismes de réglementation européens a incité bon nombre de nos clients à chercher s'il était possible d'empêcher les données soumises au RGPD de quitter l'UE.
L'époque où toutes les données du monde pouvaient être traitées au sein d'un énorme datacenter, quelle que soit leur provenance, est révolue.
L'une des réactions à ce changement pourrait être de se retirer de chaque pays qui développerait, entre autres, ses propres services de messagerie et systèmes de RH en ligne, voire ses fournisseurs de commerce électronique. Ce serait là un énorme gaspillage d'efforts. Les entreprises réalisent des économies d'échelle lorsque le même service peut être utilisé par les Allemands, les Péruviens, les Indonésiens, les Australiens…
La réponse à ce défi en matière de confidentialité est la même que la réponse apportée lors des phases de connectivité et de sécurité d'Internet : il suffit de la construire ! Nous devons construire un Internet respectueux de la confidentialité et offrir aux entreprises les outils nécessaires pour créer facilement des applications protégeant la vie privée.
Cette semaine, nous parlerons des nouveaux outils de Cloudflare conçus par Cloudflare pour faciliter la création d'applications respectueuses de la confidentialité en permettant aux entreprises de régionaliser les données de leurs utilisateurs dans les pays et régions de leur choix. Nous évoquerons les nouveaux protocoles intégrant la protection de la vie privée au sein de la structure même d'Internet. Nous ferons le point sur les derniers algorithmes à l'épreuve de l'informatique quantique qui permettent de protéger la confidentialité des données privées aujourd'hui, et ce pendant encore longtemps.
Nous vous montrerons comment il est possible d'exécuter un service de résolution DNS massif comme le résolveur 1.1.1.1 et de préserver la confidentialité des utilisateurs par le biais d'un nouveau protocole intelligent. Nous verrons comment créer des mots de passe impossibles à divulguer. Enfin, nous donnerons à tout le monde le pouvoir de procéder à des analyses web sans suivre les utilisateurs.
Bienvenue dans la phase 3 d'Internet : un réseau toujours actif, toujours sécurisé et toujours privé.