C'est tout à fait ça. Je n'ai pas les compétences judiciaires ni même le bagage technique pour argumenter du bien fondé ou non de la condamnation. Mais que personne ne soit "surpris" que de telles informations se retrouvent indexées par le moteur de recherche le plus populaire de la planète me glace presque le sang.
C'est choquant mais pas une première. C'était même très prévisible.
Lors du scandaloïde (pseudo-scandale bas de gamme) "Google Street View" (1), la CNIL qui avait récupéré ces données et les avait analysé (2) afin de déterminer l'ampleur de la violation et de pouvoir condamner le méchant gouguel, ce qui est la raison d'être de la CNIL (3), la CNIL avait alors déterminé que parmi les données captées on trouvait :
- des mots de passe
- des données très personnelles
- des informations médicales d'une clinique
Et là,
la presse prévisible a fait ce qu'on attend d'elle, elle a dit ce qu'on s'attendait à ce qu'elle dise (comme dans Guignol, chacun a été dans son rôle) : elle a condamné Google. Elle n'a pas condamné les sites qui demandent de s'identifier sur une page HTTP, elle n'a rien reproché à la clinique qui faisait circuler les données en clair sur un Wifi ouvert, elle n'a pas signalé que le WPA existait pour une bonne raison, les VPN aussi (4). Elle n'a pas observé que si les utilisateurs configuraient leur point d'accès en WPA au lieu de Wifi ouvert ils seraient protégés non seulement contre les écoutes des Google Cars, de leurs voisins, mais aussi contre l'injection de fausses données. Elle n'a pas dit que les Wifi communautaires pourraient être en WPA Enterprise, et qu'un FAI aux USA (5) propose de l'accès par WPA Enterprise (et aussi des Wifi ouverts et un VPN associé pour ceux qui n'arriveraient pas à utiliser le WPA Enterprise).
Bref,
la presse prévisible n'a rappelé aucun des moyens qui permettent de protéger les échanges, et elle n'a rien dit sur l'obligation légale de protection des données privées et notamment des informations médicales, et sur
le risque non seulement d'écoute mais aussi d'altération de ces données quand on utilise un Wifi ouvert, sans parler du
risque de propagation de vers et virus (6) si les ordinateurs connectés ont des failles de sécurité.
(1) quand les Google Cars avaient enregistré non seulement les SSID/BSSID des réseaux Wifi mais aussi toutes les données transmises sur les Wifi ouverts
(2) cela aurait été dommage que Google viole la vie privée des français sans qu'aucun protecteur de la vie privée n'en profite pour jouer les voyeurs en "analysant" ces données
(3) plus exactement la raison d'être de la CNIL est de rassurer les français en leur faisant croire qu'on fait "quelque chose"
(4) WPA est en quelque sorte un VPN
(5) il s'agit de Google, d'ailleurs
(6) propagation de virus via les partages de fichiers souvent activés par défaut sur le réseau local
Bistro