Les grandes banques au coeur de la protection de la vie privée

Ottawa croit avoir trouvé la solution aux enjeux de protection des données confidentielles sur ses sites Web : un outil de la firme torontoise SecureKey qui permet aux Canadiens de s’identifier à partir de leurs coordonnées bancaires.
Photo: Associated Press Ottawa croit avoir trouvé la solution aux enjeux de protection des données confidentielles sur ses sites Web : un outil de la firme torontoise SecureKey qui permet aux Canadiens de s’identifier à partir de leurs coordonnées bancaires.

Ottawa croit avoir trouvé la solution aux enjeux de protection des données confidentielles sur ses sites Web : un outil de la firme torontoise SecureKey qui permet aux Canadiens de s’identifier à partir de leurs coordonnées bancaires.

Une solution que le gouvernement vient d’étendre à plusieurs autres de ses services et qui pourrait même inclure bientôt un éventuel passeport vaccinal.

L’Agence du revenu du Canada (ARC) utilise depuis plusieurs mois déjà la solution d’identification de SecureKey. À leur arrivée sur le site Web de l’ARC, les internautes sont redirigés vers leur compte bancaire en ligne pour prouver leur identité auprès du gouvernement.

Cette forme d’authentification semble appréciée des utilisateurs. Depuis le début de la pandémie en mars 2020, ce système été utilisé pour s’identifier dans 70 % des cas, à un rythme de 20 millions de connexions chaque mois, affirme SecureKey.

Le gouvernement canadien a donc décidé, il y a un mois, d’inclure cet outil d’identification à l’ensemble des services offerts par Emploi et Développement social Canada. Appelé « Verifiez.Moi » (« Verified.Me » en anglais), il est pleinement intégré au service d’identification en ligne CléGC utilisé par le fédéral.

Les gens qui désirent obtenir des prestations d’assurance-emploi ou d’invalidité ou qui désirent consulter le Régime de pensions du Canada peuvent donc le faire en s’identifiant auprès d’une des principales banques canadiennes, à l’exception de la Banque Nationale.

Déprécier les données piratées

Mais est-ce responsable de confier aux grandes banques les clés donnant accès aux données confidentielles de millions de Canadiens ? Ce n’est pas comme si elles n’avaient jamais subi de fuites de données. Personne n’a oublié la fuite de 1,8 million de dossiers chez Desjardins en 2019…

« Il y a eu des fuites et il y en aura encore, mais les banques croisent différents facteurs pour authentifier leurs clients, y compris la localisation et l’appareil utilisé, et rendent donc chaque information individuelle moins sensible. Nous pensons que c’est la meilleure approche », affirme en entrevue au Devoir Greg Wolfond, p.-d.g. et fondateur de SecureKey.

« Notre outil est sécuritaire et ne coûte pas très cher à utiliser. Il bénéficie du fait que les banques dépensent déjà des dizaines de millions de dollars pour sécuriser leurs propres infrastructures, pour que le gouvernement n’ait pas à le faire lui aussi. »

Il n’y a pas que le fédéral que SecureKey intéresse. L’Ontario s’en sert pour protéger le dossier médical en ligne des Ontariens.

Au Québec, le service québécois d’identification gouvernementale clicSÉQUR l’intègre également. Les détaillants Costco, des notaires, des assureurs et d’autres entreprises privées l’utilisent aussi.

Greg Wolfond l’admet rapidement : son outil s’inspire d’une solution similaire appelée BankID, utilisée par certains pays européens comme la Suède. BankID est à la fois une preuve d’identification et une signature électronique légalement contraignante. D’autres moyens sécurisés de s’identifier existent, mais BankID est le plus populaire.

En Suède, il sécurise d’ailleurs le code QR remis aux gens vaccinés contre la COVID-19, comme celui que le ministère québécois de la Santé envoie présentement par courriel.

Si jamais ce code QR est appelé à devenir un passeport vaccinal, il ne serait donc pas impossible qu’on puisse y accéder à partir de nos données bancaires.

À voir en vidéo