Eva Hibnick, âgée de 24 ans et étudiante à l'Université de Harvard est très certainement à l'origine d'un nouveau point marquant dans l'évolution de la responsabilité des éditeurs de logiciels informatiques traitant des données personnelles.

L'étudiante avait en effet porté plainte contre la société Google, suite aux dérapages successifs en matière de protection des données au sein son logiciel de réseautage social "Google Buzz". Un arrangement entre les parties contraint la société Google à verser 8,5 millions de dollars dans un fond dédié à la réparation des dommages subis par les plaignants et à la sensibilisation sur la protection de la sphère privée.


Des utilisateurs particulièrement mécontents....et conscients de leurs droits!


En février dernier, le service de réseautage social Google Buzz avait ici-même fait l'objet de plusieurs billets relevant les problématiques liées à la protection des données personnelles. Le dernier billet sur le sujet s'était résumé à annoncer le dépôt d'une plainte en recours collectif (class action) devant la Cour Fédérale de l'État de Californie, le 17 février 2010.

Cette plainte faisait suite à une première action par le Commissaire canadien à la protection des données. Google avait alors rapidement implémenté de nombreuses modifications au sein de son service "Buzz" dans le but de s'éviter les foudres de l'administration canadienne. L'effet fut plutôt inverse et conduit à une action en recours collectif, initiée par Eva Hibnick, une étudiante à la prestigieuse faculté de Droit de l'Université de Harvard.


Les revendications


La plainte déposée contre Google faisait état de plusieurs abus dans le traitement et la diffusion de données à caractère personnel, constituant ainsi des infractions à diverses lois (Electronic Communications Privacy Act, Stored Communications Act, Computer Fraud and Abuse Act, California Business & Professions Code).

Citée à titre d'exemple, une fonctionnalité de Google Buzz évaluait et publiait automatiquement, sans l'accord préalable de l'utilisateur, les personnes avec qui ce dernier entretenait une relation pouvant être qualifiée de "sociale." Des élèves ont vu leur profil révéler soudainement à leurs camarades un lien social avec leur enseignant, des profils d'agents de police se sont révélés être associés à des informateurs ou encore l'entourage d'une collaboratrice de l'administration publique qui constatait la présence d'un éminent spécialiste en oncologie (médecine du cancer) dans sa liste de contacts.


L'arrangement


Bien qu'un jugement ait été évité, l'arrangement conclu entre les parties contraint Google, entre autres, à constituer un fond de 8,5 millions de dollars qui se destinera à alimenter financièrement différentes actions oeuvrant dans la sensibilisation aux risques et dérives liés aux traitements sur les données personnelles.

Il est prévu que chacun des plaignants reçoive environ 2'500 dollars de dédommagement.


Éditeurs de logiciels : comment prévenir ce type de risque ?


Le problème se présente généralement lorsque deux contrôles ne sont pas mis en oeuvre au sein du cycle de développement (SDLC), indépendamment du modèle de cycle (waterfall, v, spiral, xp, scrum, agile, etc.) choisi.

1: Identifier les contraintes réglementaires et légales lors du lancement

Le premier contrôle est défini durant la phase d'initialisation du projet, pendant laquelle les différentes contraintes réglementaires ou légales, ainsi que leurs impacts sur le projet, sont identifiées. En analysant et produisant de nouvelles données à caractère social sur ses utilisateurs, le produit Google Buzz était exposé à des contraintes légales telles que la loi sur le traitement des données électroniques enregistrées (Stored Communications Act) et la loi sur la protection de la sphère privée lors des communications sous forme électronique (Electronic Communications Privacy act).


2: Identifier les infractions lors de la spécification

Le second contrôle intervient en aval de la phase de spécification fonctionnelle. C'est lors de cette phase que les fonctionnalités sont documentées (oralement ou par écrit) et leur dynamique d'utilisation est décrite. A ce stade, l'expert en protection des données va pouvoir revoir les documents et détecter d'éventuelles infractions aux différentes exigences identifiées lors de la phase d'initialisation du projet.


Le rôle des tests d'intrusion

Il est également important de noter que de nombreux éditeurs de logiciels, ou organisations acquérant des logiciels, tentent de détecter l'exposition à cette catégorie de risques au moyen de tests d'intrusion (ethical hacking, penetration testing).

Les résultats de ces tests n'offrent toutefois que très rarement une visibilité réelle sur les risques liés à la protection des données personnelles. Nul ne doutera que Google a procédé à l'exécution d'un test d'intrusion sur le produit Google Buzz avant de le rendre accessible au public. Toutefois, ces tests se concentrent en général sur la détection de vulnérabilités de sécurité d'ordre technique (telles que celles permettant l'exécution des 10 catégories principales d'attaques sur les applications web).

Un autre inconvénient induit par l'approche "tests d'intrusion" est la nature des brèches liées à la protection des données : elles résultent généralement d'une mauvaise conception du produit lui-même plutôt que d'une erreur de développement. Comme cette catégorie de problèmes apparaît au début des projets de développement, leur détection à la fin du cycle induit en toute logique les coûts de correction les plus élevés!



Pour aller plus loin:
- Software development models (Abhijeet Bhagat)
- Information security in the systems development lifecycle (NIST guidance)
- Local class action complaint filed over Google Buzz (San Francisco Chronicle)
- Hibnick v. Google Inc. (Justia.com)
- Google settles Buzz privacy lawsuit for $8.5 million (Mashable)
- OWASP Top 10: les 10 principaux risques de sécurité dans les applications web


PS : oui, j'ai dépassé les 2'000 caractères, j'ai révisé mes attentes irréalistes et e je me suis fixé 2'000 mots comme limite ; )