La Direction de l’analyse des technologies du Commissariat à la protection de la vie privée du Canada a publié en mai 2013 un rapport intitulé «Ce qu’une adresse IP peut révéler à votre sujet». Ce rapport a fait suite à un projet de loi qui devait permettre de transmettre sans autorisation judiciaire des renseignements à un certain nombre d’entités administratives. Le rapport s’intéresse aux conséquences sur la vie privée que peuvent avoir les renseignements sur les abonnés ne figurant pas dans un annuaire téléphonique, soit l’adresse de courriel, le numéro de téléphone portable et l’adresse IP.
La méthode
Le Commissariat a tout d’abord utilisé l’adresse IP du serveur Web du Commissariat ainsi que l’adresse IP d’un contributeur actif de Wikipedia. A l’aide d’outils comme WHOIS, il a ensuite cherché le propriétaire de l’adresse IP, ainsi que toute personne ou organisation enregistrée à cette adresse puis effectué des recherches au moyen de l’adresse IP pour déterminer l’emplacement géographique du propriétaire de l’adresse IP et localiser le réseau utilisé. Il a encore utilisé l’adresse IP comme terme de recherche dans différents moteurs de recherche et examiné les pages Web affichées dans la liste des résultats afin de trouver des exemples d’activités sur Internet (p. ex. entrées dans les journaux du serveur Web, participation à des forums en ligne). La combinaison de ces résultats a permis d’établir le profil détaillé des personnes associées à une adresse IP.
Il est important de relever que la seule difficulté ici est d’avoir l’adresse IP, l’adresse de courriel ou le numéro de téléphone, car toutes les autres démarches ont été menées avec des services gratuits disponibles sur Internet.
Les résultats
Plus de 240 résultats ont été obtenus en utilisant l’adresse IP du serveur du Commissariat comme terme de recherche. Ces résultats ont indiqué que les personnes travaillant à partir de cette adresse IP avaient consulté des sites concernant par exemple la formation sur l’optimisation des moteurs de recherche, le monde de la publicité et du marketing au Canada, la gouvernance du Web, la gestion de l’identité, les questions de vie privée, les conseils juridiques sur le droit des assurances et les litiges pour lésions corporelles, un certain groupe religieux, le partage de photos en ligne, l’historique des révisions d’une page Wikipédia ou encore certains artistes, ce qui a permis de révéler un éventail de noms d’utilisateurs. La qualité des informations obtenues dépendra surtout de la manière dont les sites traitent les adresses IP (sont-elles ou non visibles aux moteurs de recherche).
La même démarche a été effectuée avec l’adresse IP d’un individu (et non plus d’un serveur) en prenant au hasard l’adresse laissée par un contributeur de Wikipedia. Le Commissariat a ainsi découvert que cette personne avait révisé des centaines de pages Wikipédia au sujet de certaines émissions de télévision (pour des questions de confidentialité plus de détails ne sont pas donnés) ainsi que des douzaines de pages sur des sujets liés à l’histoire. Cette personne avait aussi consulté un site consacré aux préférences sexuelles, puis effectué une recherche en ligne pour un type de personne particulier.
Le Commissariat décrit ensuite, en prenant l’exemple l’affaire Petraeus aux États-Unis, les renseignements qu’il est possible d’obtenir en se servant d’une adresse IP comme point de départ d’une enquête.
Le Commissariat arrive donc à la conclusion que contrairement aux simples données contenues dans un annuaire téléphonique, une adresse IP peut servir à dresser un profil très détaillé d’une personne, de même que révéler ses activités, ses goûts, ses penchants et son style de vie.
Nous verrons prochainement les conditions auxquelles une autorité pénale peut obtenir une adresse IP en Suisse
11 décembre 2013 at 08:09
Oui l’IP peut servir à obtenir des infos très détaillées mais la plupart des gens sont sur des IP changeantes. Les FAI ont des systèmes de DHCP, on n’a pas toujours la même IP. Du coup quelle valeur? En plus on peut déduire le client d’un FAI mais pas la personne qui chez le client fait les recherches en question. Sans même parler du squat de réseau wifi. Si on ajoute les systèmes très simples permettant de se donner une IP factice correspondant à un pays étranger et les systèmes VPM et compagnie, quelle validité l’IP peut-elle avoir légalement? De plus, sauf erreur avec la fameuse affaire Logistep, l’IP est considérée comme une donnée privée.
11 décembre 2013 at 20:39
En droit Suisse l’adresse IP est effectivement une données personnelle.
La démarche du Commissariat a montré que combinée à d’autres éléments, les informations liées à une adresse IP même partagée entre plusieurs personnes permettaient d’avoir beaucoup d’informations ciblées. Mais il existe en effet des moyens simple de masquer son IP, ce que l’utilisateur moyen ne fait pas, et encore moins sur son lieu de travail.
3 janvier 2015 at 14:49
Fred H. a raison sur le principe. Avec l’IP dynamique, qui est la règle, il y a une certaine confusion du fait qu’elle est distribuée entre les abonnés. Toutefois, les adresses IP dynamiques ont parfois une durée de vie si grande qu’elles ressemblent à des adresses statiques. Par exemple, Cablecom fait vivre pendant plus d’une année l’adresse IP attribuée à un abonné. Pas moyen de la changer volontairement; Cablecom a totalement bloqué cette possibilité. C’est ce droit au changement d’adresse qui devrait être revendiqué au nom de la protection de la sphère privée, le droit de pouvoir forcer volontairement un tel changement à tout moment.