Documents de recherche sur la protection de la vie privée

Ce qu’une adresse IP peut rĂ©vĂ©ler Ă  votre sujet

Rapport prĂ©parĂ© par la Direction de l’analyse des technologies du Commissariat Ă  la protection de la vie privĂ©e du Canada

Mai 2013


Haut de la page Table des matièresIntroduction – Objet et motif de l’analyse

Au cours de la dernière dĂ©cennie, le gouvernement du Canada a dĂ©posĂ© diffĂ©rentes versions d’un projet de loi sur l’accès dit « lĂ©gal Â».

La plus rĂ©cente Ă©numĂ©rait six renseignements prĂ©cis sur les abonnĂ©s qui pourraient ĂŞtre communiquĂ©s aux organismes responsables de l’application de la loi et de la sĂ©curitĂ© nationale sans l’obtention prĂ©alable d’une autorisation judiciaire, soit :

  • le nom;
  • l’adresse;
  • le numĂ©ro de tĂ©lĂ©phone;
  • l’adresse de courriel;
  • l’adresse de protocole Internet (IP);
  • l’identifiant du fournisseur de services locaux.

(Une courte description de certains de ces renseignements [adresse IP, adresse de courriel et identifiant du fournisseur de services locaux] figure Ă  l’Annexe A.)

Les auteurs des versions prĂ©cĂ©dentes du projet de loi considĂ©raient que ces renseignements sur les abonnĂ©s Ă©taient de nature similaire Ă  ceux contenus dans un annuaire tĂ©lĂ©phonique1. Le prĂ©sent document expose les rĂ©sultats d’une analyse technique rĂ©alisĂ©e par le Commissariat Ă  la protection de la vie privĂ©e du Canada (le Commissariat) afin d’examiner les consĂ©quences sur la vie privĂ©e que peuvent avoir les renseignements sur les abonnĂ©s ne figurant pas dans un annuaire tĂ©lĂ©phonique, soit l’adresse de courriel, le numĂ©ro de tĂ©lĂ©phone cellulaire et l’adresse IP.

Les travaux de recherche liĂ©s Ă  cette analyse ont pris fin le 19 dĂ©cembre 2012 et ont Ă©tĂ© menĂ©s conformĂ©ment au mandat du Commissariat qui consiste Ă  appuyer et Ă  effectuer des recherches sur des enjeux liĂ©s Ă  la protection de la vie privĂ©e et Ă  en faire connaĂ®tre les conclusions, ainsi qu’Ă  sensibiliser la population Ă  ces enjeux en prĂ©parant et en publiant les rĂ©sultats des recherches Ă  l’intention du grand public, des institutions fĂ©dĂ©rales et des organisations du secteur privĂ©.

Ils ont en outre Ă©tĂ© rĂ©alisĂ©s afin de permettre au personnel du Commissariat d’aborder en pleine connaissance de cause les enjeux soulevĂ©s par les propositions lĂ©gislatives antĂ©rieures et de formuler des conseils Ă  l’intention du Parlement. Ils ne visent pas Ă  formuler des commentaires sur les pratiques et procĂ©dures actuelles et futures en matière d’application de la loi ou Ă  remettre celles-ci en question, mais simplement Ă  brosser un portrait hypothĂ©tique de la situation.

En règle gĂ©nĂ©rale, les rĂ©sultats permettent de conclure que, contrairement aux simples donnĂ©es contenues dans un annuaire tĂ©lĂ©phonique, les renseignements examinĂ©s peuvent servir Ă  dresser un profil très dĂ©taillĂ© d’une personne, de mĂŞme que rĂ©vĂ©ler ses activitĂ©s, ses goĂ»ts, ses penchants et son style de vie.

Haut de la page Table des matièresMention

Il ne s’agit pas de la première analyse du genre. Les travaux du Commissariat, qui ont dĂ©butĂ© alors que la dernière mouture du projet de loi fĂ©dĂ©ral C-30 sur l’accès lĂ©gitime figurait toujours Ă  l’ordre du jour des travaux du Parlement, ont Ă©tĂ© prĂ©cĂ©dĂ©s d’une analyse similaire rĂ©alisĂ©e parChristopher Parsons, candidat au doctorat en science politique Ă  l’UniversitĂ© de Victoria.

L’analyse de M. Parsons, qui portait sur une version prĂ©cĂ©dente de la lĂ©gislation sur l’accès lĂ©gitime, a Ă©tĂ© publiĂ©e sur son blogue, Technology, Thoughts and Trinkets, sous le titre The Anatomy of Lawful Access Phone Records, le 21 novembre 20112. Elle portait sur les renseignements sur les individus qu’il Ă©tait possible d’obtenir au moyen du numĂ©ro d’identification internationale d’abonnĂ© mobile et du numĂ©ro d’identification internationale d’Ă©quipement mobile.

MĂŞme s’il a Ă©tĂ© proposĂ©, dans les projets de lois prĂ©cĂ©dents, que ces Ă©lĂ©ments de donnĂ©es soient divulguĂ©s aux autoritĂ©s sans l’obtention prĂ©alable d’une autorisation judiciaire, ils ne figuraient pas parmi les Ă©lĂ©ments de donnĂ©es inclus dans la dĂ©finition des renseignements de base sur l’abonnĂ© qui apparaĂ®t dans le projet de loi C-30.

Haut de la page Table des matièresMĂ©thodologie – ProcĂ©dures d’analyse

Aux fins de la recherche, le Commissariat a menĂ© de simples tests afin de dĂ©terminer le type de renseignements pouvant ĂŞtre obtenus Ă  partir d’une adresse IP (ou encore Ă  partir d’une adresse de courriel ou d’un numĂ©ro de tĂ©lĂ©phone) :

  1. Nous avons tout d’abord utilisĂ© l’adresse IP du serveur mandataire Web du Commissariat ainsi que l’adresse IP d’un contributeur actif de Wikipedia.
  2. Nous avons ensuite cherchĂ© le propriĂ©taire de l’adresse IP, ainsi que toute personne ou organisation enregistrĂ©e Ă  cette adresse, Ă  l’aide d’outils comme WHOIS (un service en ligne qui permet notamment d’interroger des bases de donnĂ©es stockant de l’information sur les utilisateurs enregistrĂ©s ou les titulaires de noms de domaine ou de blocs d’adresses IP).
  3. Nous avons effectuĂ© des recherches au moyen de l’adresse IP pour dĂ©terminer l’emplacement gĂ©ographique du propriĂ©taire de l’adresse IP et localiser le rĂ©seau utilisĂ©.
  4. Nous avons utilisĂ© l’adresse IP comme terme de recherche dans diffĂ©rents moteurs de recherche (p. ex. Google ou Bing) et examinĂ© les pages Web affichĂ©es dans la liste des rĂ©sultats afin de trouver des exemples d’activitĂ©s sur le Web (p. ex. entrĂ©es dans les journaux du serveur Web, participation Ă  des forums en ligne).

En combinant les rĂ©sultats obtenus Ă  ces diffĂ©rentes Ă©tapes, il a Ă©tĂ© possible d’Ă©tablir le profil dĂ©taillĂ© des personnes ou des groupes associĂ©s Ă  une adresse IP. Des exemples sont fournis dans les pages qui suivent.

Une fois que l’adresse IP, l’adresse de courriel ou le numĂ©ro de tĂ©lĂ©phone ont Ă©tĂ© obtenus auprès du fournisseur de service ou de l’abonnĂ©, aucun Ă©quipement ou logiciel spĂ©cial n’est nĂ©cessaire pour mener de tels tests. Une gamme de services sont offerts sur le Web pour obtenir des renseignements au sujet d’adresses IP, d’adresses de courriel ou de numĂ©ros de tĂ©lĂ©phone. Il existe aussi des services permettant de trouver des renseignements liĂ©s Ă  ces donnĂ©es, y compris le nom du propriĂ©taire et son emplacement gĂ©ographique. Enfin, certains services, comme Google et Bing, peuvent se rĂ©vĂ©ler très puissants lorsque des donnĂ©es de ce type sont saisies comme termes de recherche.

Haut de la page Table des matièresQue peuvent rĂ©vĂ©ler les renseignements de base sur l’abonnĂ©?

Les exemples qui suivent illustrent le type de renseignements supplĂ©mentaires qui peuvent ĂŞtre dĂ©couverts Ă  partir de certains renseignements de base sur l’abonnĂ©.

Comme le montrent les exemples, ces donnĂ©es permettent parfois de dĂ©terminer l’emplacement gĂ©ographique rĂ©el (en plus de l’adresse municipale), des bribes de l’activitĂ© en ligne et possiblement le style de vie des abonnĂ©s.

1. Numéro de téléphone et adresse de courriel

Un numĂ©ro de tĂ©lĂ©phone (fixe ou mobile) peut ĂŞtre utilisĂ© pour obtenir divers renseignements au sujet d’une personne, comme :

  • les noms et adresses associĂ©s Ă  ce numĂ©ro (Ă  l’aide d’outils de recherche inversĂ©e, comme www.411.com);
  • toute activitĂ© publique sur Internet ou document accessible au public oĂą figure ce numĂ©ro de tĂ©lĂ©phone, y compris des billets de blogues, des messages affichĂ©s sur des forums de discussion, des dossiers financiers ou mĂ©dicaux3, etc. (Ă  partir d’une recherche dans des sources ouvertes);
  • tout domaine Internet associĂ© Ă  ce numĂ©ro de tĂ©lĂ©phone (en fouillant les dossiers d’enregistrement des domaines);

Tout comme le numĂ©ro de tĂ©lĂ©phone, l’adresse de courriel peut servir Ă  obtenir des renseignements au sujet d’une personne, y compris :

  • son nom rĂ©el (s’il figure dans l’adresse de courriel ou est associĂ© Ă  celle-ci d’une autre manière);
  • son inscription Ă  des services Ă  partir de cette adresse de courriel (pour certains services [p. ex. LinkedIn], l’adresse de courriel sert de nom d’utilisateur);
  • tout domaine enregistrĂ© Ă  l’aide de cette adresse de courriel;
  • des activitĂ©s et documents sur Internet, y compris des courriels, qui contiennent l’adresse et ont Ă©tĂ© rĂ©pertoriĂ©s par les moteurs de recherche;
  • une liste d’amis sur les rĂ©seaux sociaux;
  • les noms d’anciens employeurs (p. ex. si l’adresse figure dans un curriculum vitae affichĂ© en ligne).

Les constatations du Commissariat…

NOTE : Les rĂ©sultats des tests effectuĂ©s au cours de l’analyse Ă©taient très rĂ©vĂ©lateurs et auraient pu permettre d’identifier des personnes. Afin de protĂ©ger la vie privĂ©e et de rĂ©duire les risques d’identification (correcte ou incorrecte) des personnes, les rĂ©sultats prĂ©sentĂ©s dans les exemples qui suivent ont Ă©tĂ© gĂ©nĂ©ralisĂ©s afin d’Ă©liminer le plus de renseignements possible permettant de reconnaĂ®tre celles-ci (p. ex. adresses IP, noms des sites Web, sujets des recherches, adresses URL, etc.).

Ă€ titre d’exemple, le numĂ©ro de tĂ©lĂ©phone cellulaire d’un employĂ© du Commissariat Ă  la protection de la vie privĂ©e du Canada a Ă©tĂ© utilisĂ© (avec son consentement) pour mener des recherches en ligne.

Les recherches ont révélé :

  • le vĂ©ritable nom, au complet, de la personne;
  • le nom de son fournisseur de services de tĂ©lĂ©communications sans fil;
  • deux sites Web personnels et les enregistrements de noms de domaine;
  • l’affiliation Ă  une universitĂ©;
  • la participation Ă  des forums de discussion en ligne concernant la radiodiffusion sur Internet, ainsi qu’Ă  des confĂ©rences professionnelles et portant sur la sĂ©curitĂ©;
  • la participation Ă  un groupe d’intĂ©rĂŞt local sur les problèmes techniques.

2. Adresse IP – Observations générales sur la fonctionnalité des adresses IP

Il est possible d’obtenir de plus amples renseignements au sujet d’un rĂ©seau, d’un appareil ou d’un service Ă  partir d’une adresse IP. Plus prĂ©cisĂ©ment, l’adresse IP permet :

  • de dĂ©terminer le propriĂ©taire et l’exploitant du rĂ©seau. Une recherche dans la base de donnĂ©es WHOIS Ă  partir de l’adresse IP peut fournir une foule de renseignements sur la personne4 (ce qui pourrait mener Ă  la dĂ©couverte de ses affiliations organisationnelles) ou l’organisation Ă  qui l’adresse a Ă©tĂ© attribuĂ©e, y compris le nom, le numĂ©ro de tĂ©lĂ©phone et l’adresse municipale5;
  • d’effectuer une recherche inversĂ©e (Ă©tablir une correspondance entre l’adresse IP et le nom de domaine auquel elle est associĂ©e) pour obtenir un nom d’ordinateur6, ce qui fournit souvent des indices quant Ă  l’emplacement logique et gĂ©ographique;
  • d’utiliser traceroute (unoutil de diagnostic informatique qui montre l’acheminement des paquets de donnĂ©es sur un rĂ©seau IP) pour Ă©tablir le chemin logique vers l’ordinateur, ce qui fournit souvent des indices quant Ă  l’emplacement logique et gĂ©ographique;
  • de dĂ©terminer l’emplacement gĂ©ographique de l’ordinateur, avec diffĂ©rents degrĂ©s d’exactitude. Selon l’outil de recherche utilisĂ©7, il est possible d’obtenir le pays, la province ou l’État, la ville, la latitude/longitude, l’indicatif rĂ©gional du numĂ©ro de tĂ©lĂ©phone et une carte gĂ©ographique;
  • d’effectuer une recherche sur Internet Ă  partir de l’adresse IP ou du nom de l’ordinateur. Une telle recherche pourrait rĂ©vĂ©ler les activitĂ©s poste-Ă -poste (p. ex. le partage de fichiers), les entrĂ©es dans les fichiers journaux du serveur Web, ou une partie des activitĂ©s sur le Web d’une personne (p. ex. rĂ©vision de pages WikipĂ©dia). Ces bribes de l’historique des activitĂ©s en ligne d’une personne peuvent permettre d’Ă©tablir son allĂ©geance politique, son Ă©tat de santĂ©, son orientation sexuelle, son appartenance religieuse, ainsi qu’une foule d’autres caractĂ©ristiques, prĂ©occupations et intĂ©rĂŞts personnels;
  • de trouver de l’information sur les adresses courriel utilisĂ©es Ă  partir d’une adresse IP donnĂ©e, ce qui pourrait donner lieu Ă  d’autres demandes de renseignements sur les abonnĂ©s.

Selon Electronic Frontier Canada8, mĂŞme des activitĂ©s de nature non commerciale sur Internet, comme la consultation de documents sur des pages Web, requièrent la transmission de donnĂ©es sur l’adresse IP, ce qui permet d’identifier l’objet de la consultation.

Les constatations du Commissariat…

Pour illustrer ce processus, un simple test a Ă©tĂ© rĂ©alisĂ© au moyen de l’adresse IP du serveur mandataire du Commissariat Ă  la protection de la vie privĂ©e du Canada.

Une recherche sur WHOIS a rĂ©vĂ©lĂ© que l’adresse IP Ă©tait attribuĂ©e Ă  Travaux publics et Services gouvernementaux Canada (TPSGC) et associĂ©e Ă  l’adresse 350 CDKE (il s’agit du Centre de donnĂ©es King Edward), Ottawa (Ontario) K1A 0S5. Le point de contact technique Ă©tait identifiĂ©, et son nom complet, son adresse de courriel et son numĂ©ro de tĂ©lĂ©phone Ă©taient fournis.

Plus de 240 rĂ©sultats ont Ă©tĂ© obtenus en utilisant l’adresse IP comme terme de recherche. Ces rĂ©sultats ont indiquĂ© que les personnes travaillant Ă  partir de cette adresse IP avaient consultĂ© des sites concernant notamment :

  • la formation sur l’optimisation des moteurs de recherche;
  • le monde de la publicitĂ© et du marketing au Canada;
  • la gouvernance du Web;
  • la gestion de l’identitĂ©;
  • les questions de vie privĂ©e;
  • des conseils juridiques sur le droit des assurances et les litiges pour lĂ©sions corporelles;
  • un certain groupe religieux;
  • le conditionnement physique;
  • le partage de photos en ligne;
  • l’historique des rĂ©visions d’une page WikipĂ©dia;
  • certains artistes, ce qui a permis de rĂ©vĂ©ler un Ă©ventail de noms d’utilisateurs.

3. Adresse IP – Renseignements sur les personnes

Il est Ă  noter que les renseignements ci-dessus ont Ă©tĂ© tirĂ©s de l’activitĂ© en ligne Ă  partir d’un ensemble d’ordinateurs, et non d’un poste de travail individuel. Cela dit, le procĂ©dĂ© utilisĂ© pour obtenir ces rĂ©sultats peut ĂŞtre appliquĂ© Ă  un abonnĂ© rĂ©sidentiel. Les renseignements prĂ©cis pouvant ĂŞtre obtenus dĂ©pendent du niveau d’activitĂ© en ligne des abonnĂ©s et de la façon dont les sites Web consultĂ©s traitent les adresses IP (autrement dit, laissent-elles les moteurs de recherche les rĂ©pertorier?).

Afin de montrer ce qu’une simple adresse IP permet de dĂ©couvrir au sujet d’une personne, une analyse similaire a Ă©tĂ© entreprise Ă  l’aide d’une adresse IP plus reprĂ©sentative d’un abonnĂ© individuel.

Les constatations du Commissariat…

Le Commissariat s’est penchĂ© sur des collaborateurs actifs de WikipĂ©dia et a effectuĂ© des recherches Ă  partir des adresses IP indiquĂ©es sur ce site. Celles-ci permettent souvent d’Ă©tablir un profil dĂ©taillĂ© des collaborateurs.

Par exemple, l’adresse IP d’un certain collaborateur de WikipĂ©dia9 a rĂ©vĂ©lĂ© que cette personne :

  • avait rĂ©visĂ© des centaines de pages WikipĂ©dia au sujet d’Ă©missions de tĂ©lĂ©vision nord-amĂ©ricaines ou Ă©trangères. Cet intĂ©rĂŞt Ă  l’Ă©gard des Ă©missions de tĂ©lĂ©vision Ă©tait vaste et circonscrit, mais des prĂ©cisions ne sont pas fournies ici pour des raisons de confidentialitĂ©;
  • avait rĂ©visĂ© des douzaines de pages WikipĂ©dia sur des sujets liĂ©s Ă  l’histoire;
  • avait participĂ© Ă  un groupe de discussion au sujet d’une chaĂ®ne de tĂ©lĂ©vision;
  • avait consultĂ© un site consacrĂ© aux prĂ©fĂ©rences sexuelles, puis effectuĂ© une recherche en ligne pour un type de personne particulier.

Aux fins des recherches menĂ©es par le Commissariat, les renseignements susmentionnĂ©s ont Ă©tĂ© obtenus Ă  partir d’une simple adresse IP. Toutefois, ces exemples donnent un aperçu du type de portrait que les organismes d’application de la loi pourraient brosser d’un individu sans qu’il soit nĂ©cessaire d’obtenir une autorisation judiciaire au prĂ©alable, comme l’ont proposĂ© les divers projets de loi dĂ©posĂ©s au cours de la dernière dĂ©cennie.

Haut de la page Table des matièresL’affaire Petraeus – Montrer ce que les renseignements de base sur les abonnĂ©s ont rĂ©vĂ©lĂ© et les consĂ©quences qui en ont dĂ©coulĂ©

Un autre exemple des renseignements qu’il est possible d’obtenir en se servant d’une adresse IP comme point de dĂ©part d’une enquĂŞte est l’affaire Petraeus aux États-Unis, qui a Ă©tĂ© largement mĂ©diatisĂ©e. Il s’agissait au dĂ©part d’une enquĂŞte sur des courriels de harcèlement qui a menĂ© Ă  la rĂ©vĂ©lation d’une aventure extraconjugale du directeur de la CIA, David Petraeus, et Ă  d’autres dĂ©tails compromettants, et qui s’est terminĂ©e par la dĂ©mission de ce dernier10.

Selon les renseignements qui peuvent ĂŞtre obtenus au moyen des sources mĂ©diatiques publiques, la sĂ©quence des Ă©vĂ©nements semble ĂŞtre la suivante :

  1. Une personne reçoit des courriels de harcèlement « anonymes Â» et demande au FBI d’enquĂŞter. Des copies des courriels sont transmises au FBI;
  2. MĂŞme si les messages ont Ă©tĂ© envoyĂ©s d’un service de dĂ©personnalisation, les adresses IP Ă  partir desquelles ils ont Ă©tĂ© transmis figuraient dans l’en-tĂŞte des courriels;
  3. Puisqu’il connaissait les adresses IP sources, le FBI a Ă©tĂ© en mesure d’identifier l’organisation Ă  laquelle elles avaient Ă©tĂ© attribuĂ©es (en règle gĂ©nĂ©rale, un ou des fournisseurs de services de tĂ©lĂ©communication);
  4. Sur rĂ©ception d’assignations administratives11, qui sont Ă©mises par les autoritĂ©s chargĂ©es de l’application de la loi sans surveillance judiciaire, le ou les fournisseurs de services de tĂ©lĂ©communication ont ensuite transmis les renseignements sur l’abonnĂ© correspondant aux adresses IP utilisĂ©es pour accĂ©der au compte de courriel d’origine, ainsi qu’Ă  tout autre compte de courriel consultĂ© Ă  partir des mĂŞmes adresses IP. Il semblerait que Google a donnĂ© au FBI de l’information sur chaque adresse IP utilisĂ©e pour avoir accès au compte12;
  5. Le fournisseur de services Internet (FSI) a associĂ© les adresses IP Ă  divers endroits, y compris des hĂ´tels;
  6. En connaissant les lieux physiques Ă  partir desquels ont Ă©tĂ© envoyĂ©s les courriels, le FBI a pu obtenir la liste des gens qui se trouvaient dans ces endroits au moment de l’envoi des messages en prĂ©sentant une assignation administrative13;
  7. Un nom revenait constamment dans la liste des personnes présentes pendant les périodes où les messages ont été envoyés, si bien que cette personne est devenue le suspect le plus probable;
  8. C’est alors que le FBI a demandĂ© et obtenu un mandat pour avoir accès au contenu du compte de courriel anonyme.

Le FBI a pu obtenir les renseignements suivants sans avoir Ă  demander de mandat :

  1. Les adresses IP Ă  partir desquelles ont Ă©tĂ© envoyĂ©s les courriels de harcèlement;
  2. Les noms des fournisseurs de services de télécommunication à qui ces adresses ont été attribuées;
  3. Les renseignements sur l’abonnĂ© correspondant au compte de courriel utilisĂ© pour envoyer les courriels, ainsi que des renseignements sur d’autres comptes de courriel consultĂ©s Ă  partir des mĂŞmes adresses IP;
  4. Les organisations – dans le prĂ©sent cas, les hĂ´tels – auxquelles le fournisseur de services de tĂ©lĂ©communication avait attribuĂ© les adresses IP;
  5. Les listes des personnes enregistrĂ©es dans ces hĂ´tels au moment de l’envoi des courriels.

Selon plusieurs sources publiques14, le FBI a pu obtenir ces renseignements au moyen d’assignations administratives15, ou peut-ĂŞtre de lettres de sĂ©curitĂ© nationale; dans le cas de ces deux documents, aucune approbation judiciaire indĂ©pendante n’est requise au prĂ©alable. Au Canada, dans le cadre de propositions lĂ©gislatives prĂ©sentĂ©es dans le passĂ© par le gouvernement fĂ©dĂ©ral, des renseignements semblables pourraient ĂŞtre obtenus sans approbation judiciaire indĂ©pendante prĂ©alable.

Haut de la page Table des matièresRésumé – Ce que tout cela signifie

Comme le dĂ©montrent les exemples susmentionnĂ©s, le fait de possĂ©der des renseignements sur un abonnĂ©, comme des numĂ©ros de tĂ©lĂ©phone et des adresses IP, peut servir de point de dĂ©part pour dresser un tableau des activitĂ©s en ligne de celui-ci, notamment :

  • Les services en ligne auxquels il est abonnĂ©;
  • Ses intĂ©rĂŞts personnels, en fonction des sites Web visitĂ©s;
  • Les organisations auxquelles il appartient.

Ces renseignements peuvent aussi donner un aperçu des endroits oĂą la personne est allĂ©e (p. ex. en Ă©tablissant une carte des adresses IP liĂ©es aux hĂ´tels, comme dans l’affaire Petraeus).

Ils peuvent ĂŞtre sensibles, car ils peuvent permettre de dĂ©terminer, entre autres, les penchants d’une personne, ses frĂ©quentations et les endroits oĂą elle voyage. De plus, chacun de ces Ă©lĂ©ments d’information peut servir Ă  dĂ©voiler davantage de renseignements sur cette personne.

Plus les technologies de l’information sont prĂ©sentes dans nos vies et constituent un prolongement de notre personne, et plus les renseignements d’un abonnĂ© deviennent sensibles et rĂ©vĂ©lateurs.

Le fait d’affirmer que ces donnĂ©es sont comparables Ă  ce qu’on peut trouver dans les pages blanches d’un annuaire tĂ©lĂ©phonique signifie que l’on se fait une idĂ©e erronĂ©e de la situation et qu’on sous-estime grossièrement la quantitĂ© de renseignements auxquels elles peuvent donner accès.

Ces donnĂ©es sont vraiment plus que de simples renseignements « d’annuaire tĂ©lĂ©phonique Â».

Haut de la page Table des matièresAnnexe A

Adresse de protocole Internet

Une adresse de protocole Internet (IP) est un identifiant numĂ©rique (adresse logique) attribuĂ©e aux appareils connectĂ©s Ă  un rĂ©seau informatique qui utilise le protocole Internet. Bien que les adresses IP soient reprĂ©sentĂ©es sous forme de nombres binaires, elles sont habituellement affichĂ©es dans une forme plus facilement lisible par les humains, comme 208.77.188.166. Le protocole Internet doit aussi transmettre des paquets de donnĂ©es entre les rĂ©seaux, et les adresses IP prĂ©cisent les lieux des nĹ“uds sources et de destination dans la topologie du système d’acheminement.

L’adresse IP est attribuĂ©e, ou louĂ©e, Ă  une personne par un fournisseur de services Internet; elle constitue un Ă©lĂ©ment essentiel de l’accès Ă  Internet comme tel. Les adresses IP indiquent la provenance des donnĂ©es et leur destination. Elles peuvent ĂŞtre statiques ou dynamiques. L’adresse IP statique est attribuĂ©e Ă  un appareil reliĂ© Ă  un rĂ©seau qui doit avoir une adresse permanente attribuĂ©e (p. ex. un serveur, un pare-feu, un routeur). D’autre part, une adresse IP dynamique est attribuĂ©e Ă  un appareil reliĂ© temporairement Ă  un rĂ©seau, ce qui est gĂ©nĂ©ralement le cas dans l’espace des consommateurs. Il convient de signaler que la durĂ©e d’une affectation d’adresse IP peut varier de quelques jours Ă  quelques mois, selon le nombre de facteurs comme la taille du groupe d’adresses IP Ă  la disposition du fournisseur de services Internet (FSI), le nombre d’abonnĂ©s et la stabilitĂ© relative du rĂ©seau.

La plupart des fournisseurs de services de tĂ©lĂ©communication imposent des limites quant Ă  la quantitĂ© de donnĂ©es un abonnĂ© peut tĂ©lĂ©charger au cours d’une pĂ©riode donnĂ©e, selon le forfait qu’il a achetĂ© (p. ex. Rogers permet 20 Go de donnĂ©es par mois pour un forfait d’accès Internet « Lite Â»). De plus, ils appliquent des frais pour l’utilisation qui dĂ©passe la limite du forfait. Ă€ cette fin, les fournisseurs de services de tĂ©lĂ©communication doivent pouvoir associer avec prĂ©cision l’achalandage de tĂ©lĂ©chargement Ă  un abonnĂ©, et cela est possible en conservant un registre de l’adresse ou des adresses IP attribuĂ©es Ă  cet abonnĂ© pendant cette pĂ©riode. Le temps de conservation de ce registre par le fournisseur de services de tĂ©lĂ©communication dĂ©pend des exigences lĂ©gislatives ou rĂ©glementaires pertinentes ou de ses pratiques d’affaires particulières16.

Adresse Ă©lectronique

Une adresse Ă©lectronique dĂ©signe une boĂ®te aux lettres informatique oĂą sont transmis des messages Ă©lectroniques. Elle se prĂ©sente gĂ©nĂ©ralement comme suit : jdupont@exemple.org. Elle comporte deux parties : avant le signe @, il s’agit de la partie locale et après le signe @, du nom de domaine oĂą sera acheminĂ© le message Ă©lectronique.

La partie locale de l’adresse est souvent le nom d’utilisateur du destinataire (jdupont). C’est certainement le cas au gouvernement du Canada et dans la plupart des entreprises, qui gĂ©nĂ©ralement adoptent une convention standard pour les adresses Ă©lectroniques (c.-Ă -d. prĂ©nom.nomdefamille@).

Toutefois, la partie locale de l’adresse peut aussi ĂŞtre un pseudonyme. Bien que certains fournisseurs de services de courriel sur le Web (p. ex. Gmail de Google et Hotmail de Microsoft) exigent que l’abonnĂ© entre un nom, une adresse et ainsi de suite au moment de crĂ©er un compte de courriel, ils ne vĂ©rifient pas nĂ©cessairement si l’information est vraie. La partie du nom de domaine de l’adresse indiquera le type d’organisation Ă  laquelle appartient l’utilisateur (p. ex. @priv.gc.ca) ou le fournisseur de services de courriel (p. ex. @rogers.com, @gmail.com).

Les adresses Ă©lectroniques peuvent ĂŞtre liĂ©es Ă  des comptes particuliers; elles peuvent aussi ĂŞtre des adresses gĂ©nĂ©rales. Une personne peut avoir plus d’une adresse Ă©lectronique, par exemple, une adresse pour un forum Web, une deuxième pour les achats en ligne et, enfin, une troisième pour la correspondance personnelle. En fait, cela est recommandĂ© sur le plan de la sĂ©curitĂ© et de la protection des renseignements personnels.

Identifiant du fournisseur de services locaux

L’identifiant du fournisseur de services locaux, appelĂ© parfois « identitĂ© du fournisseur de services locaux Â» (IFSL), est un numĂ©ro unique attribuĂ© aux fournisseurs de services afin que les propriĂ©taires de commutateurs de tĂ©lĂ©communication et les fournisseurs de services de tĂ©lĂ©communication puissent avoir des relations financières pour le transport de trafic. Le nombre identifie l’entreprise qui « possède Â» le compte associĂ© au trafic. Il est alors possible d’identifier l’abonnĂ© qui utilise un service particulier (p. ex. un abonnĂ© de Rogers qui utilise un cellulaire Rogers sur le rĂ©seau d’AT&T) afin que l’utilisation du service (dans ce cas, le rĂ©seau d’AT&T) soit facturĂ©e Ă  la bonne personne.

Haut de la page Table des matièresNotes de fin de document

[1] CBC News, Opposition jumps on surveillance bill confusion, daté du 20 février, 2012.

[2] Christopher Parsons, The Anatomy of Lawful Access Phone Records, publié sur le blogue Technology, Thoughts and Trinkets le 21 novembre 2011. Voir aussi The Issues Surrounding Subscriber Information in Bill C-30, publié le 28 février 2012.

[3] Une recherche fondĂ©e sur un Ă©lĂ©ment des renseignements de base sur l’abonnĂ©, comme le numĂ©ro de tĂ©lĂ©phone ou l’adresse de courriel, peut donner accès Ă  des dossiers financiers ou mĂ©dicaux si la sĂ©quence de mots recherchĂ©e y figure et que  les dossiers ont Ă©tĂ© indexĂ©s par un moteur de recherche.

[4] Ă€ mesure que de plus en plus de personnes enregistreront leur propre nom de domaine (p.ex. jeandupont.com), une recherche sur WHOIS Ă  partir de l’adresse IP pourra rĂ©vĂ©ler directement le nom et l’adresse d’une personne, ainsi que d’autres renseignements, sans devoir passer par le fournisseur de services.

[5] Ă€ l’origine, WHOIS a Ă©tĂ© conçu pour permettre aux administrateurs de système de trouver de l’information sur d’autres adresses IP ou administrateurs de noms de domaine (un peu comme les Pages blanches). Pour un exemple du type d’information que rĂ©vèle une interrogation de WHOIS, voir http://en.wikipedia.org/wiki/WHOIS#Data_Returned.Voir aussi http://whatismyipaddress.com.

[6] Un nom d’ordinateur sert Ă  identifier ou repĂ©rer un ordinateur sur un rĂ©seau. Les noms des ordinateurs doivent ĂŞtre uniques afin que les ordinateurs puissent ĂŞtre identifiĂ©s avec prĂ©cision Ă  des fins de communication.

[7] Il existe plusieurs outils permettant de trouver des adresses IP et d’autres renseignements connexes, dont IP Lookup, IP Tools, et WHOIS.

[8] Renseignements tirĂ©s d’une prĂ©sentation conjointe d’Electronic Frontier Canada/Electronic Freedom Foundation datĂ©e du 17 dĂ©cembre 2002, en rĂ©ponse Ă  un document de consultation du ministère de la Justice publiĂ© le 25 aoĂ»t 2002.

[9] Il existe deux façons d’apporter une contribution Ă  WikipĂ©dia. On peut soit se crĂ©er un compte puis s’y connecter avant d’apporter sa contribution, ou collaborer de façon anonyme. Dans ce deuxième cas, WikipĂ©dia enregistre l’adresse IP de l’ordinateur utilisĂ© pour accĂ©der Ă  WikipĂ©dia. Aux fins de la prĂ©sente recherche, le Commissariat a cliquĂ© sur l’onglet « Modifications rĂ©centes Â» (Ă  gauche sur la page d’accueil), puis a examinĂ© une sĂ©rie d’entrĂ©es comportant des adresses IP. En cliquant sur l’adresse IP, le Commissariat a pu voir les contributions apportĂ©es par un utilisateur donnĂ©. Le Commissariat a ensuite choisi un utilisateur ayant un haut taux d’activitĂ©s. Au bas de la page figurent des outils comme WHOIS, traceroute et geolocate, qui permettent d’obtenir plus de renseignements au sujet de l’utilisateur.

[10] L’affaire Petraeus a fait l’objet d’une vaste couverture mĂ©diatique, notamment :

  1. NBC News, R. Engel, « Petraeus' biographer Paula Broadwell under FBI investigation over access to his e-mail, law enforcement officials say Â», datĂ© du 9 novembre 2012, consultĂ© le 5 dĂ©cembre 2012.
  2. WIRED Magazine (Ă©dition en ligne), K. Zetter, « Email Location Data Led FBI to Uncover Top Spy's Affair Â», datĂ© du 12 novembre 2012, consultĂ© le 5 dĂ©cembre 2012.
  3. USA Today, D. Leinwand Leger et Y. Alcindor, « Petraeus and Broadwell used common e-mail trick Â», datĂ© du 13 novembre 2012, consultĂ© le 5 dĂ©cembre 2012.
  4. T. Klosowski, « How CIA Director David Petraeus's Emails Were Traced (And How to Protect Yourself) Â», datĂ© du 13 novembre 2012, consultĂ© le 5 dĂ©cembre 2012.
  5. American Civil Liberties Union (ACLU), C. Sogohian, « Surveillance and Security Lessons from the Petraeus Scandal Â», datĂ© du 13 novembre 2012, consultĂ© le 5 dĂ©cembre 2012.
  6. BBC, « How email trail aided Petraeus case Â», datĂ© du 14 novembre 2012, consultĂ© le 5 dĂ©cembre 2012.
  7. J. Sanchez, « Collateral damage of our surveillance state Â», Reuters (Ă©dition amĂ©ricaine), datĂ© du 15 novembre 2012, consultĂ© le 17 dĂ©cembre 2012.
  8. Bruce Schneier, « E-mail Security in the Wake of Petraeus Â», billet sur le blogue Schneier on Security, datĂ© du 19 novembre 2012, consultĂ© le 17 dĂ©cembre 2012.

[11] Voir, par exemple, J. Sanchez, « Collateral damage of our surveillance state Â», Reuters (Ă©dition amĂ©ricaine), datĂ© du 15 novembre 2012, consultĂ© le 17 dĂ©cembre 2012. Voir aussi M. Ambinder, « What the heck, FBI? Â», The Week, datĂ© du 13 novembre 2012, consultĂ© le 17 dĂ©cembre 2012.

[12] USA Today, D. Leinwand Leger et Y. Alcindor, « Petraeus and Broadwell used common e-mail trick Â», datĂ© du 13 novembre 2012, consultĂ© le 5 dĂ©cembre 2012.

[13] A. Leonard, « Paula Broadwell's big mistake Â», Salon, 16 novembre 2012, consultĂ© le 28 janvier 2013.

[14] Voir, par exemple, J. Sanchez, « Collateral damage of our surveillance state Â», Reuters (Ă©dition amĂ©ricaine), datĂ© du 15 novembre 2012, consultĂ© le 17 dĂ©cembre 2012. Voir aussi M. Ambinder, « What the heck, FBI? Â», The Week, datĂ© du 13 novembre 2012, consultĂ© le 17 dĂ©cembre 2012.

[15] Il existe divers types d’assignation reconnus par le droit amĂ©ricain. Les trois plus courants sont les suivants : assignation administrative (c.-Ă -d. une assignation provenant d’un organisme gouvernemental qui dĂ©tient le pouvoir d’en dĂ©livrer), assignation Ă  comparaĂ®tre au procès (parfois appelĂ©e assignation d’un juge administratif) et assignation du grand jury. Une assignation administrative est probablement ce que le FBI utilisait pour obtenir certains renseignements prĂ©liminaires dans l’affaire Petraeus. Voir, par exemple, R. Rothacker et D. Ingram, « Identity of second woman emerges in Petraeus' downfall Â», Reuters, 12 dĂ©cembre 2012 (consultĂ© 14 janvier 2013). Dans l’article, on cite sans le nommer un fonctionnaire du gouvernement amĂ©ricain qui a dĂ©clarĂ© que l’enquĂŞte du FBI sur les courriels Ă©tait assez simple et ne nĂ©cessitait pas l’obtention d’ordonnance de la cour pour surveiller les comptes de courriel des personnes touchĂ©es, y compris le compte de courriel personnel de David Petraeus. Voir aussi A. Leonard, « Paula Broadwell's big mistake Â», Salon, 16 novembre 2012, consultĂ© le 14 janvier 2013.

[16] Les fournisseurs de courriel Web comme Google, Yahoo et Microsoft conservent les enregistrements des connexions (gĂ©nĂ©ralement pendant plus d’un an), qui indiquent les adresses IP Ă  partir desquelles un consommateur s’est connectĂ©. Voir l’American Civil Liberties Union (ACLU), C. Sogohian, « Surveillance and Security Lessons from the Petraeus Scandal Â», datĂ© du 13 novembre 2012, consultĂ© le 5 dĂ©cembre 2012.