Web et Confidentialité : Sécuriser les Données - JSSophia

J’ai eu l’occasion de faire cette présentation le 21 novembre 2019 pour l’association JSSophia dans les locaux de Télémaque. Cette présentation explore les défis de la protection des données personnelles sur le web et les solutions pour renforcer leur sécurité.

Contenu de la présentation

Introduction au sujet

La conférence a débuté avec une introduction aux enjeux de la confidentialité en ligne, en expliquant pourquoi il est essentiel de protéger les informations personnelles. La fuite de données peut avoir de graves conséquences, notamment avec la montée des cyberattaques et la réglementation de plus en plus stricte.

Données personnelles : Comprendre les fondamentaux

Nous avons défini ce qu’est une donnée personnelle : toute information permettant d’identifier une personne, directement ou indirectement. Par exemple, si quelqu’un dans une salle porte un haut d’une couleur unique – disons un sweat rouge vif avec un logo inhabituel – même sans donner son nom, il est possible d’identifier cette personne juste en mentionnant “la personne au sweat rouge avec un logo” et le lieu.

Ainsi, même sans informations directes comme le nom ou le prénom, ce type de recoupement d’informations permet aux autres présents de savoir de qui il s’agit. Cet exemple illustre l’importance de traiter les données personnelles avec prudence, car des détails en apparence anodins peuvent suffire à identifier quelqu’un de manière indirecte.

Pseudonymisation et Anonymisation : Deux Approches de Confidentialité

• Pseudonymisation : Transformation des données pour cacher les identités tout en permettant une identification réversible.
• Anonymisation : Transformation des données de façon irréversible, rendant impossible le lien avec des identités. Exemple : malgré des efforts pour anonymiser certaines bases de données, des recoupements (comme ceux réalisés avec les données de Netflix et IMDb) peuvent permettre d’identifier des individus.

Méthodes d’anonymisation : Généralisation et Randomisation

Nous avons abordé des méthodes avancées d’anonymisation telles que :

• K-anonymisation, l-diversité, et t-proximité pour réduire les risques d’identification indirecte.
• Généralisation et randomisation (ajout de bruit) comme méthodes pour minimiser les informations personnelles sans affecter leur utilité.

Chiffrement et Déchiffrement : Les Bases de la Sécurité des Données

Le chiffrement est une technique fondamentale pour sécuriser les données en les rendant illisibles pour quiconque n’a pas la clé appropriée. Lorsqu’on parle de déchiffrement, on fait référence au processus inverse : le retour des données en clair pour qu’elles soient à nouveau compréhensibles.

Et maintenant, une petite précision pour éviter les confusions (et parce que je suis le relou de service qui se bat pour les termes corrects) : on dit chiffrer et non crypter! 😄 Beaucoup utilisent “crypter” pour parler de la sécurisation des données, mais en français, le mot juste est bien “chiffrer” – un terme qui a une histoire et une signification précise.

Alors, pourquoi pas “crypter” ? En réalité, décrypter signifie “comprendre un message sans avoir la clé”, comme lorsque l’on résout un code secret par déduction. Par contre, déchiffrer signifie décoder un message avec la clé légitime. En utilisant les bons termes, on évite la confusion et on fait honneur à l’art de la sécurité des données !

Donc, en bref :

• Chiffrer : Rendre les données illisibles avec une clé.
• Déchiffrer : Rendre les données lisibles à nouveau, mais avec la clé.
• Décrypter : Percer le secret d’un message sans clé, à la manière d’un détective !

Si je fais un peu la chasse aux termes ici, c’est parce que chaque précision compte pour bien comprendre et protéger nos données.

Bonnes Pratiques en Sécurité : Cookies et Content Security Policy (CSP)

Pour minimiser les risques de vulnérabilités comme les attaques XSS :

• Utilisez des cookies sécurisés avec HttpOnly et Secure.
• Content Security Policy (CSP) : Une directive de sécurité pour contrôler les ressources externes. Utilisez CSP en mode ReportOnly pour tester les politiques sans perturber l’application en production.

Chiffrement côté serveur et chiffrement de bout en bout

• Chiffrement côté serveur : Permet de sécuriser les données en stockage, même en cas de fuite.
• Chiffrement de bout en bout : Offre une protection maximale, car les données sont illisibles même par le serveur. Toutefois, il implique une gestion de clé plus complexe.

Cet article pourrait vous intéresser pour en savoir plus sur la sécurité et la confidentialité en JavaScript.

Ce texte offre un résumé de la présentation.