Depuis 2013, Aymen Jerbi, 31 ans, ingénieur en télécoms, accompagne et conseille la société civile et les médias, sur les questions des systèmes d’information et de la sécurité numérique, à travers sa structure « DSS216 Digital security school ». Ce spécialiste tunisien en sécurité informatique était à Alger du 20 au 24 mai, pour animer une formation en matière de sécurisation des données personnelles, notamment sur les réseaux sociaux.
Sur quoi portent les formations que vous dispensez autour de la sécurité numérique ?
J’interviens essentiellement sur de la prévention et la vulgarisation des stratégies basiques pour sécuriser l’environnement numérique. Au cours de ces formations, j’essaye de faire passer le message suivant : la sécurité n’est pas un ensemble d’outils mais une stratégie personnelle, autrement dit, en tant qu’utilisateur, je ne dois pas me fier à quelqu’un d’autre mais définir moi-même un processus et une stratégie de sécurité. Et cette stratégie n’implique pas une connaissance technologique, elle correspond plutôt à une prise de conscience qui va déterminer un certain comportement. De mon côté, je fournis les idées, ressources et outils et je compte sur les participants pour les mettre en pratique.
Quels sont les principaux risques auxquels sont confrontées les structures, médias et associations, dans lesquelles vous intervenez ?
Il y a deux types de risques. Le premier est celui qui émane de l’activité : à partir du moment où l’on est un média, certaines personnes peuvent chercher à nous nuire et mener ainsi des actions ciblées, telles que des actes de piratage qui vont changer la page d’accueil pour afficher certains messages. Le second type est plus général : comme les médias en ligne ont généralement une bonne visibilité et audience, certains pirates vont chercher à détourner leur bande passante ou leur audience. Dans les formations, on demande aux participants d’évaluer eux-mêmes les risques, à travers quatre questions : Qu’est-ce que je veux protéger ? Qui veut faire quelque chose dans le but de me nuire ? De quoi est-il réellement capable ? Que se passe-t-il quand il arrive à sa fin ? Et, vous remarquerez que dans tout ça, on n’a pas parlé de technologie du tout.
Que faire pour protéger correctement son environnement numérique ?
Tout d’abord, il faut prendre conscience que pour tout ce qui concerne nos messageries, réseaux sociaux ou comptes divers, le mot de passe doit être personnel et compliqué. Plus compliqué qu’un numéro de téléphone ou un mot de passe composé de choses très communes ou évidentes telles que la date de naissance, le prénom, etc. Un mot de passe composé de dix chiffres peut être hacké en moins d’une seconde grâce à un testeur. Or, près de 80 % des attaques sont liées à un mauvais choix de mot de passe, notamment pour les réseaux WiFi. Je recommande d’utiliser des phrases plutôt que des mots, car elles sont faciles à retenir pour l’utilisateur tout en étant assez longues et compliquées à deviner. Il est possible d’évaluer le niveau de sécurité de notre mot de passe sur le site « How Secure Is My Password ?« .
Les réseaux sociaux occupent de plus en plus de place dans la pratique d’internet, comment peuvent-ils devenir une menace pour des utilisateurs mal informés ?
Les réseaux sociaux représentent une menace potentielle car ils sont un coffre-fort de la vie privée que l’on met en ligne et qui peut-être utilisé à des fins malhonnêtes. Les utilisateurs prennent souvent des mesures de sécurité après avoir été victimes d’une attaque. Pour éviter ce scénario, il est important de mettre en place des moyens supplémentaires dès maintenant, comme la double sécurisation du compte par exemple. Une grande partie de mes interventions est consacrée à la sensibilisation de l’utilisation des réseaux sociaux. Car, il faut toujours avoir en tête que s’ils sont gratuits et accessibles, c’est que leur premier produit est la vente et l’échange des données personnelles de leurs clients, entres autres à travers la publicité. Les réseaux sociaux n’effacent rien. Dès que l’on publie quelque chose sur Facebook, ça appartient à Facebook et ça ne nous appartient plus, c’est noté dans les clauses de confidentialité d’ailleurs. Je recommande donc de traiter tout ce qui est sur les réseaux sociaux comme étant une information publique.
Quels sont les risques d’utilisation des données personnelles par des tiers ?
Les infos personnelles sont le seul produit sur le marché qui se vend plus cher en gros qu’à l’unité. L’application « Whatsapp » a, par exemple, été vendue à Facebook pour 19 milliards de dollars. Ce prix ne correspond pas à la technologie de « Whatsapp » mais à sa base de données de 300 millions d’abonnés. Il est de plus en plus fréquent de voir des pratiques de vente dans les grandes surfaces et les grandes chaines de distribution pour monétiser les informations des clients.
En Tunisie, l’exemple le plus parlant sur les dérives de l’utilisation de données personnelles et surtout l’absence de cadre légal est le scandale intervenu lors des élections législatives de 2014. Les candidats à la présidence devaient soumettre 10.000 parrainages pour être en mesure de se présenter. Ils ont eu recours pour cela à l’achat de bases de données provenant aussi bien de la Caisse de santé (CNAM) que des universités, etc. Le problème c’est que comme la loi ne prévoyait rien, il n’y a eu aucune sanction, ni conséquence électorale. Avec notre école « DSS216 Digital security school » de sécurité digitale, DSS216, on essaye de travailler avec la société civile et les journalistes pour pousser les Etats de la région Moyen-Orient et Afrique du Nord (MENA) à se doter d’une législation garantissant la préservation et la sécurisation des données personnelles. Car, jusqu’à présent, il n’existe aucune loi régulant l’accès aux informations personnelles et leur utilisation par des parties tiers, gouvernements compris.