Webmail et IP, mes meilleurs ennemis
Il y a quelques jours de cela, un éminent confrère demandait à un membre de la rédaction de CSO France s'il était possible de « tracer l'utilisateur d'un compte de messagerie Webmail façon Gmail, Yahoo et consorts ». Et notre collaborateur d'indiquer l'indiscrétion de toute opération reposant sur le protocole http. Et de relater les exploits de Mr Maynor se livrant à ses exercices de « cookies session hijacking » lequel pouvait offrir des accès gratuits sur des comptes Gmail, ou narrant comment profiter d'un hameçonnage bien tempéré. Ceci sans oublier les techniques de flicage reposant sur l'intégration d'un « gif espion cross-site» d'une taille limitée à un pixel. Et voilà qu'un groupe de travail oeuvrant pour le compte du Parlement Européen (le fameux groupe « Article 29 »), sous la présidence de Peter Scharr, affirme enfin qu'officiellement, le numéro IP d'un usager d'Internet peut bel et bien être assimilé à une identité et doit être considérée comme une donnée privée. Une subtilité d'interprétation sémantique qui balaye d'un revers les prétentions des MPAA, Google et autres groupes de pression qui associent pudiquement l'adresse IP à une géolocalisation très approximative. Cette interprétation ouvre la porte à tout un tas d'exploitation commerciales ou policières des dits « numéros-qui-ne-sont-pas-des-identités ». Yahoo News ou MSNBC se font l'écho de cette déclaration sans prendre le moindre parti - ces deux médias sont directement liés à des entreprises exploitant ce genre d'indiscrétion- , Ha.ckers, en revanche, donne un éclairage très légèrement plus technique et franchement plus instructif. De l'avis du groupe de travail à sa transformation en une proposition de loi visant à préserver la vie privée, il y a un énorme pas à franchir. Pour l'heure, il existe en Europe, et encore plus en Amérique du Nord, un flou juridique que trop d'intérêts politiques, industriels et commerciaux ont intérêt à ne pas voir se dissiper. Car une fois le numéro IP officiellement reconnu comme assimilable à une identité, il faudra un peu plus qu'une dérogation de la Cnil pour tracer l'activité d'un particulier sur Internet. Cela risque également de provoquer de sérieux soucis d'administration aux RSSI, CSO et DSI qui pourraient bien être tenus comme responsables des conséquences provoquées par une simple installation de sonde d'IDS.
