Identifiants à hauts risques

Cet été, Desjardins et Capital One ont été l’objet de graves incidents mettant en péril les données personnelles de plusieurs milliers de leurs clients. De tels dérapages rendent plus visibles les enjeux et risques associés aux renseignements personnels dans l’univers connecté. Un univers qu’on a choisi de laisser à la merci d’entreprises qui gèrent surtout leur risque d’image.

Les identifiants

Dans le monde connecté, l’identification est nécessaire pour utiliser toutes sortes de services personnalisés et réaliser une kyrielle de transactions. Elle devient un enjeu vital dans un monde d’objets et de véhicules connectés. Mais on laisse les gens se débrouiller avec « leurs » données personnelles en entretenant l’illusion qu’ils peuvent individuellement avoir le « contrôle » sur celles-ci. À une autre époque, on aurait spontanément convenu que c’est un enjeu collectif et qu’il est irréaliste de croire que les individus peuvent individuellement « contrôler » ce qu’il advient des données témoignant de leurs faits et gestes.

En mettant la main sur les identifiants de milliers de personnes, un pirate informatique se trouve en position de contrôler les capacités d’accéder à une multitude de ressources. Mal protégés, les renseignements d’identification peuvent servir à commettre plusieurs sortes de fraudes à l’encontre d’un nombre indéterminé de personnes. C’est là un enjeu collectif, pas une affaire individuelle.

Dans le monde en ligne, les identifiants constituent une ressource stratégique de très grande valeur. Or, au Canada, nous identifions les personnes avec des procédés hérités d’une époque révolue. Par exemple, le numéro d’assurance sociale (NAS) est l’un des identifiants les plus utilisés pour distinguer les individus dans un univers où les repères découlant de la présence physique ne sont pas disponibles. Mais le procédé est rudimentaire. Il repose sur une série de neuf chiffres souvent conservés sans cryptage dans les dossiers. La persistance d’un tel recours à un procédé aussi bancal pour identifier les individus dans le monde numérique tient en partie aux frayeurs des Nord-Américains à l’égard des mécanismes d’identification universels.

Les Nord-Américains sont allergiques à un identifiant universel comme ceux fondés sur les cartes d’identité dotées d’une puce qu’on utilise dans d’autres pays. Le NAS et les numéros inscrits sur les cartes d’assurance maladie ou sur les permis de conduire sont des identifiants sectoriels. En vertu de la réglementation régissant leur usage, ils ne peuvent être exigés que pour les fins auxquelles ils ont été délivrés. Mais dans la vraie vie, il est souvent nécessaire de s’identifier. Il est devenu habituel de présenter son NAS, son permis de conduire ou sa carte d’assurance maladie. Ces identifiants ont une réputation de fiabilité ; par défaut, ils sont utilisés pour répondre à la plupart des besoins des individus d’établir leur identité. Mais ils n’ont pas été conçus à ces fins.

Étant donné l’aversion pour un identifiant universel, les autorités n’ont jamais eu le courage de mettre en place un mécanisme universel d’identification qui serait fortement protégé des intrusions et des usages non autorisés. Nous en sommes même venus à oublier que l’identification sécuritaire des personnes est de la nature d’un service essentiel.

Dans le monde numérique, l’identification ne peut plus reposer sur des méthodes héritées de l’époque des dossiers papier. Il faut que l’information échangée lors d’un processus d’identification soit fiable, précise et protégée des intrusions et des usages non autorisés. Dans des pays où les frayeurs reliées aux cartes d’identité sont moins intenses, on a doté les citoyens de cartes avec identifiants cryptés et protégés. Ces dispositifs ne règlent pas tous les problèmes, mais contribuent à réduire les risques associés à l’identification des personnes.

Inspections proactives

En plus des insuffisances des outils d’identification, nous subissons aujourd’hui les conséquences du rapetissement des ressources des instances habilitées à surveiller les pratiques en matière de données personnelles. Depuis 1993, la Loi québécoise sur la protection des renseignements personnels dans le secteur privé comporte des dispositions autorisant la commission chargée d’appliquer cette loi à faire enquête, même de sa propre initiative, sur les pratiques de toute entreprise qui recueille et utilise des renseignements personnels. Mais cet organisme n’a pas de programme d’inspection préventive, et ses effectifs sont insuffisants. La loi permet d’enquêter afin de prévenir les dégâts, mais la volonté et les ressources n’y sont pas. Alors, il reste à gérer les crises…

Une véritable politique numérique doit reconnaître que la protection des données critiques est un impératif de service public. À ce jour, nos gouvernements ont plutôt choisi de laisser ces ressources précieuses aux bons soins d’Equifax et des autres sociétés multinationales qui cumulent leur lot d’incidents de données. Le Québec s’apprête même à s’enfoncer plus profondément dans cette impasse en jetant nos données entre les mains d’oligopoles principalement imputables aux marchés boursiers.

LE COURRIER DES IDÉES

Recevez chaque fin de semaine nos meilleurs textes d’opinion de la semaine par courriel. Inscrivez-vous, c’est gratuit!


En vous inscrivant, vous acceptez de recevoir les communications du Devoir par courriel.

6 commentaires
  • Nadia Alexan - Abonnée 6 août 2019 00 h 26

    Les données personnelles relèvent de la collectivité, pas d'un impératif personnel.

    Vous avez raison, monsieur Trudel. Merci pour ses renseignements. Effectivement, «une véritable politique numérique doit reconnaître que la protection des données critiques est un impératif de service public». Les données personnelles ne devront jamais se trouver entre les mains d’oligopoles principalement imputables aux marchés boursiers.

  • Daniel Francoeur - Abonné 6 août 2019 01 h 00

    Une réponse gouvernementale molle au risque collectif

    Ce qui me frappe suite aux événements récents, c'est la mollesse des réponses gouvernementales aux attaques et à la vulnérabilité citoyenne face au risque du vol d'identité. Pourtant, historiquement une des fonctions régaliennes de tout gourvernement est d'assurer la sécurité de tous ses citoyens et la raison en est fort simple: un gouvernement qui ne protège pas ses citoyens s'expose à une perte de légitimité.mettant ainsi en danger sa survie.

  • Jean-François Trottier - Abonné 6 août 2019 09 h 17

    La passé est le passé

    M. Trudel,

    le mode de développement de la toile est anarchique. Ceux qui la "détiennent" dans sa majeure partie sont du domaine privé et le font pour des raisons pécuniaires.

    Le chiffre d'affaire de chacun dépasse le budget de la plupart des pays du monde.
    La toile appartient est le jouet de groupes privés pour qui la sécurité des individus est un sujet de rigolade déjà usé.

    Ce sont ces intérêts privés qui demain possèderont les premiers vrais ordinateurs quantiques, avec qui la sécurité deviendra totalement obsolète.

    Un ordinateur quantique, de toute sa puissance, pourra résoudre n'importe quel codage en quelques minutes.
    On peut et doit considérer la sécurité individuelle comme déjà morte. RIP.

    Qu'est-ce qui fait la force du secret et donc de l'information qu'il dissimule ?
    Le fait que cette information soit privilégiée.

    Je sais que c'est radical, mais du moment où tout un chacun et n'importe qui sera capable de connaître tout sur tous, l'information privilégiée disparaîtra du même coup, et l'avantage de ceux qui sont seuls à savoir du même coup.
    Donc, le secret doit stautairement disparaître avant l'arrivée des ordinateurs quantique... demain matin.

    Sinon on se dirige directement vers une dictature de l'information et donc pas mal tout, à quelques têtes (bien moins que le si honni 1%!), par quelques sociopathes, sinon psychopathes, qui en tireront profit comme des sangsues sans jamais craidre le moindre obstacle ou déboire.
    Mots de passe, inutiles. Les cryptages, un livre ouvert.
    L'armée à genoux. Les États, euh... quoi? Un État? Kosséça?

    Le secret est devenu un bonbon empoisonné qui tue le bien-être de chaque humain.
    J'aimerais que ce soit une fiction. Hé non.

    Je ne sais pas comment on pourra continuer à faire des achats sur Internet, gérer son compte de banque ou même son compte Netfilx.

    Mais je sais que les affres au sujet de ces crises du secret ne seront plus que la norme qui nous régit.

  • François Boulay - Abonné 6 août 2019 09 h 52

    données personelles

    Il faut le reconnaitre, depuis les nombreuse fuites des dernières années, il faut prendre pour acquis que nos données sont disponibles sur le Black Web et nous ne pouvons pas revenir en arrière. Pour le moment la meilleure chose à faire est d'exiger que les commerçants fassent des véreifications sérieuses avant d'accorder du crédit. Par exemple, il y a quelques années, j'ai acheté pour 3500,00$ de matériaux. Prenez une de nos cartes de crédit qu'on me dit et on vous donne un escompte de 15%. On me demande de remplir un petit questionnaire et de fournir une autre carte de crédit et en un maximum de 10 minutes j'avais une nouvelles carte avec une limite de 7500,00$. Beaucoup trop facile pour les fraudeurs, il faut absolument que nos gouvernements agissent.

  • B. Pascal Andrianarijaona - Inscrit 6 août 2019 09 h 59

    La sécurité des données personnelles doit occuper une place importante au même niveau que la sécurité physique des biens et de la personne. Une fois que ce principe est reconnu, des changements au niveau du droit pénal devront être apportés.

    Pour ce qui est du numéro d'assurance sociale comme identifiant, il est temps que le gouvernement investisse pour remplacer ce procédé reconnu comme vétuste par nombreux experts. Nous payons déjà assez de taxes aux gouvernements pour qu'ils s'assurent notamment que notre intégrité personnelle soit préservée. Ça doit devenir un enjeu électoral!

    Les entreprises et institutions financières doivent dorénavant reconnaître que la protection des données personnelles de leurs clients est un gage de viabilité à long terme en affaires. Quand on dit qu'aucun système informatique n'est à l'abri de fuites ou de vol d'informations personnelles même si des normes de sécurité jugées "efficaces" sont en place, est-ce à dire que la technologie évolue trop rapidement et que les entreprises n'arrivent pas à suivre le rythme pour assurer une protection sans faille des données personnelles de leurs clients? ou bien est-ce que les malfaiteurs sont plus "intelligents" dans le domaine? Est-ce que les connaissances et expertises de ceux et celles qui conçoivent les systèmes et processus seraient limitées ou ne seraient pas à jour? Est-ce une question liée aux ressources ou est-ce que l'aspect sécurité informatique ne serait pas une priorité pour les entreprises? Dans tous les cas, leur responsabilité demeure. Je n'arrive pas à croire que, en 2019, un employé malveillant puisse encore dérober des informations personnelles à l'aide d'une simple clé USB.