Speaker #0Bonjour à toi, et bienvenue dans Compliance Without Coma, le podcast qui parle cybersécurité, gouvernance et normes ISO sans coma. Je suis Fabrice Depaepe et j'accompagne les organisations dans leur développement GRC. Aujourd'hui, je vais te parler de mon dernier voyage à Rome, et grâce au principe de Lockhart, en criminalistique, où tout contact laisse une trace, je vais te montrer toutes les traces concernant ta vie privée que tu laisses derrière toi. Nous voilà donc à Rome, en pleine période de conclave, c'est pas fait exprès mais bon. T'es résilient, tu ajustes ton planning et en avant pour la Dolce Vita. Des ruines, des glaces et des selfies. Mais avant ça, dis-moi, bien sûr, tu as pensé à ta valise, ton passeport, même ton chargeur. Tu sais, pour éviter de te connecter à des prises non sécurisées à l'aéroport. Et ta vie privée ? Allez, suis-moi dans mon city trip à Rome. Ça commence avec la réservation. On a pris une compagnie low-cost irlandaise. Bon, il n'y en a pas 36, tu vois de quoi je parle. Et bam ! dumping social. Oui, mais ça fera une boule de glace pistache en plus pour les enfants. Ok. Tu rentres tes infos, celles de ta famille, les numéros de carte d'identité, tout part dans le cloud irlandais. Et même dans l'Union Européenne, les transferts vers les Etats-Unis, c'est jamais bien loin. Tu as pensé au wifi à l'aéroport ? Tu vas me dire, oh non, j'ai un VPN, pas de soucis. Ok, je te donne un point. Mais t'es encore en 4G ou en 5G ou en LTE en quittant le mode avion, non ? Et si tu avais Dropbox actif, c'est trop tard. Ton IP italienne est déjà dans les journaux de Dropbox. Même donc si tu repasses sur ton VPN français après. Tu arrives à ton Airbnb, tu poses ta valise et direct, puis-je avoir vos cartes d'identité monsieur ? Et là, tu donnes tout. Tranquille. Alors que pour ta banque, tu rajoutes Spécimen partout. Là, tu la tends à un inconnu qui n'est peut-être même pas le proprio. Et tu souris. Airbnb va collecter ton identité, téléphone, historique, appareil, IP et tout ça bien sûr aux Etats-Unis. Et ils communiquent avec toi comment ? Via leur appli, avec ton modèle de téléphone, ta localisation, ton usage, par email, souvent via SendGrid, aussi aux Etats-Unis, par SMS, via Twilio, aussi aux Etats-Unis. Et parfois ton hôte même va t'écrire carrément sur WhatsApp, Meta et donc aux Etats-Unis. Bienvenue dans le monde du tracking croisé. Bon, dis-moi, tu ne serais pas un peu fatigué après ce long périple ? Assieds-toi dans le divan, allume la télé, ne te connecte pas à ton YouTube, ni Amazon Prime, ou Netflix, mais à ceux des autres qui ont oublié de se déconnecter. D'ailleurs, cette janedoe@gmail.com l'a déjà fait pour toi. Tu regardes, tu zappes, tu utilises son compte, pas bien grave, non ? C'est pas du vol, c'est du co-visionnage intergénérationnel. Et puis YouTube, c'est gratuit. Lol. Ils savent donc que tu es à Rome, quand, sur quel appareil, avec quelle adresse IP, enfin, ici c'est Jane Doe. Big Brother is watching you, c'est 1984 de George Orwell. Bon, le wifi de l'Airbnb, tu l'avais oublié celui-là. Toi tu t'en fiches, t'es en 5G, en illimité, sur ton abonnement mobile. Mais tes enfants, tu donnes le mot de passe wifi après un jour, mais t'as quand même cédé. Et bam ! Duolingo, Youtube Kids, jeux d'échecs en ligne, Xoulou pour dire aux copains où on est et qu'est-ce qu'on fait. La vie de pré-ado, c'est du grand art. Et hop, tu livres ton trafic aux fournisseurs d'accès Internet locaux, le reste à Google, Apple, Meta et Tutti Quanti. Les réseaux sociaux, ton partenaire, ou ta partenaire, poste, photos des enfants, du resto, des ruines, tag, géolocalise en temps réel. Mais c'est privé, dit. Bien sûr, mais puisqu'on te dit que c'est privé et partagé dans son cercle privé d'amis Facebook, donc tu vois bien, c'est quand même pas toi qui va lui expliquer comment fonctionne Facebook. Ah ben tiens, parlons des visites. Tes billets coupe-fil. Oui, parce qu'en city trip, tu n'as pas le temps d'attendre 4 heures en plein soleil pour faire une visite. Tu es prévoyant. Tu as acheté tes accès en ligne, tu donnes ton nom, ton mail et ceux de ta famille, parfois même ton ID. Les données vont être générées par... ou gérée par Tickets aux Pays-Bas, Get Your Guide en Allemagne, Viator aux Etats-Unis. Tu peux parfois avoir des audio guides, géolocalisés. Tu veux découvrir Rome en mode futé ? Tu installes une app de visite. Elle te géolocalise, tu te promets de la supprimer après. Tu promets, mais tu oublies. Comme toutes les apps qui dorment sur ton smartphone. Avoue, avoue que tu vas aller vérifier après le podcast si ce que je te dis est vrai. et que tu vas me dire en commentaire combien tu as réussi à effacer. Les apps, elles vont collecter GPS, parcours, préférences, et derrière, on a Google ou Apple, via les appuis de localisation. Mais papa, tu connais déjà le chemin à Rome ? Comment tu fais pour t'y retrouver ? Tu es déjà venu ? Non, j'ai bien planifié. Mais surtout, je triche ma chérie. C'est mon Apple Watch qui me dit où tourner. Et puis... Comme le petit pousset qui sème des cailloux blancs, moi je sème des données un peu partout. Et puis il y a Google Maps ou Apple Plans, selon les religions. Tu veux éviter de te perdre ? Tu ouvres Maps. Bam ! Itinéraire, adresse, historique, nombre de pas. Et devine qui sait exactement où tu étais à 14h12 mercredi. Et puis, lors de ton séjour, tu vas bien essayer de parler quelques mots en italien, non ? Ah mais comment est-ce qu'on dit déjà ça en italien ? mais tu sais chérie si tu dis "toilette" ils comprennent hein pas besoin de dire "dove e il bagno per favore" bon après huit kilomètres de marche je vous avoue que la famille elle réclame un taxi bon on est au colisée le panthéon n'est pas loin deux kilomètres il y a le métro aussi on est juste devant mais la famille trois contre un les gars supplie pour un taxi bon je regarde la course sur uber compare les prix C'est deux fois moins cher qu'un taxi normal. Ça fera de nouveau une glace pistache en plus, tiens. Tu avais promis qu'on ne t'y reprendrait plus. Et bam, dumping social, le retour. Tu cèdes à Uber et donc partages avec tes partenaires et sous-traitants les services de paiement, hébergement cloud et toutes les autorités légales. Et bien qu'Uber ait son siège européen aux Pays-Bas, certaines données sont transférées vers les États-Unis. Et d'ailleurs... Est-ce que tu savais qu'ils avaient eu une amende de 290 millions d'euros en 2024 ? Soit. Sur ton séjour, tu veux visiter le parc de la Villa Borghese. Je vous laisse aller voir sur Internet. Et pourquoi pas en voiturette de golf ? Pas de problème. Et puis c'est fun pour les gosses. Mais il te faut une photocopie de ton permis. Notez que c'est une voiture sans permis. Mais bon. Donc sans spécimen écrit dessus, comme pour Airbnb. Sans rien. T'es en chemin, bien sûr. Tu te promènes. Pas avec des photos couleur spécimen préimprimées. Un coup de carte bancaire et c'est reparti. Ah, j'oubliais. WeWard. Ou comment vendre tes pas. Tu te dis, allez, je la réactive pendant les vacances, je vais bien marcher pendant ces quelques jours, tu marches 15 000 pas, tu valides fièrement, et tu n'oublies jamais la semaine suivante que tu vas retirer cette application. Mais entre temps, WeWard a collecté ton identité, ton poids, ta taille, ton mail, tes pas, ton GPS, ton historique. etc. Et tu crois que c'est fini ? Ah oui, n'oublie pas de signer le livre d'or Airbnb, comme ça même offline, tu laisses une trace. Oh, et puis qu'est-ce qui m'empêche de signer tonton Donald ? Après tout, ainsi on ne saura pas que j'étais dans cet appart à telle date, personne ne saura que c'était moi. Et après ? Après tu rentres chez toi, tu redeviens sérieux tu ne dis plus jamais où tu es, enfin sauf quand, bon Tu sais, tu tags un formateur pour booster sa visibilité, c'est pas toi, c'est lui. Ou alors tu annonces que tu es A Lanzarotte en te taguant avec le partenaire et le hashtag du cours dans le sable. Tu postes depuis Kuala Lumpur pour un salon de cybersécurité. Parce que bon, c'est différent, c'est professionnel non ? Alors on fait quoi ? Est-ce que c'est grave de dire où on n'est pas ? Ou de dire où on est ? Quand les voleurs du web, eux, savent déjà tout. Alors pourquoi toutes ces contraintes GDPR côté PROquand c'est déjà... intenable côté PERSO. Au moins, si ça réveille les consciences, c'est déjà ça. Abemus Papam ! La fumée blanche est là, et on arrive à la fin de cet épisode. Donc, même sans crime, à Rome, ta vie privée, c'est mort. Une seule chose de sûre pour l'instant, c'est que tu peux liker mon podcast anonymement. En tout cas, je n'ai pas ces infos. Alors, ne prends aucun risque, et je t'invite à liker sur Spotify et ou Apple Podcasts. Ça m'aide beaucoup. Merci.
