Identifiants à hauts risques

Cet été, Desjardins et Capital One ont été l’objet de graves incidents mettant en péril les données personnelles de plusieurs milliers de leurs clients. De tels dérapages rendent plus visibles les enjeux et risques associés aux renseignements personnels dans l’univers connecté. Un univers qu’on a choisi de laisser à la merci d’entreprises qui gèrent surtout leur risque d’image.

Les identifiants

Dans le monde connecté, l’identification est nécessaire pour utiliser toutes sortes de services personnalisés et réaliser une kyrielle de transactions. Elle devient un enjeu vital dans un monde d’objets et de véhicules connectés. Mais on laisse les gens se débrouiller avec « leurs » données personnelles en entretenant l’illusion qu’ils peuvent individuellement avoir le « contrôle » sur celles-ci. À une autre époque, on aurait spontanément convenu que c’est un enjeu collectif et qu’il est irréaliste de croire que les individus peuvent individuellement « contrôler » ce qu’il advient des données témoignant de leurs faits et gestes.

En mettant la main sur les identifiants de milliers de personnes, un pirate informatique se trouve en position de contrôler les capacités d’accéder à une multitude de ressources. Mal protégés, les renseignements d’identification peuvent servir à commettre plusieurs sortes de fraudes à l’encontre d’un nombre indéterminé de personnes. C’est là un enjeu collectif, pas une affaire individuelle.

Dans le monde en ligne, les identifiants constituent une ressource stratégique de très grande valeur. Or, au Canada, nous identifions les personnes avec des procédés hérités d’une époque révolue. Par exemple, le numéro d’assurance sociale (NAS) est l’un des identifiants les plus utilisés pour distinguer les individus dans un univers où les repères découlant de la présence physique ne sont pas disponibles. Mais le procédé est rudimentaire. Il repose sur une série de neuf chiffres souvent conservés sans cryptage dans les dossiers. La persistance d’un tel recours à un procédé aussi bancal pour identifier les individus dans le monde numérique tient en partie aux frayeurs des Nord-Américains à l’égard des mécanismes d’identification universels.

Les Nord-Américains sont allergiques à un identifiant universel comme ceux fondés sur les cartes d’identité dotées d’une puce qu’on utilise dans d’autres pays. Le NAS et les numéros inscrits sur les cartes d’assurance maladie ou sur les permis de conduire sont des identifiants sectoriels. En vertu de la réglementation régissant leur usage, ils ne peuvent être exigés que pour les fins auxquelles ils ont été délivrés. Mais dans la vraie vie, il est souvent nécessaire de s’identifier. Il est devenu habituel de présenter son NAS, son permis de conduire ou sa carte d’assurance maladie. Ces identifiants ont une réputation de fiabilité ; par défaut, ils sont utilisés pour répondre à la plupart des besoins des individus d’établir leur identité. Mais ils n’ont pas été conçus à ces fins.

Étant donné l’aversion pour un identifiant universel, les autorités n’ont jamais eu le courage de mettre en place un mécanisme universel d’identification qui serait fortement protégé des intrusions et des usages non autorisés. Nous en sommes même venus à oublier que l’identification sécuritaire des personnes est de la nature d’un service essentiel.

Dans le monde numérique, l’identification ne peut plus reposer sur des méthodes héritées de l’époque des dossiers papier. Il faut que l’information échangée lors d’un processus d’identification soit fiable, précise et protégée des intrusions et des usages non autorisés. Dans des pays où les frayeurs reliées aux cartes d’identité sont moins intenses, on a doté les citoyens de cartes avec identifiants cryptés et protégés. Ces dispositifs ne règlent pas tous les problèmes, mais contribuent à réduire les risques associés à l’identification des personnes.

Inspections proactives

En plus des insuffisances des outils d’identification, nous subissons aujourd’hui les conséquences du rapetissement des ressources des instances habilitées à surveiller les pratiques en matière de données personnelles. Depuis 1993, la Loi québécoise sur la protection des renseignements personnels dans le secteur privé comporte des dispositions autorisant la commission chargée d’appliquer cette loi à faire enquête, même de sa propre initiative, sur les pratiques de toute entreprise qui recueille et utilise des renseignements personnels. Mais cet organisme n’a pas de programme d’inspection préventive, et ses effectifs sont insuffisants. La loi permet d’enquêter afin de prévenir les dégâts, mais la volonté et les ressources n’y sont pas. Alors, il reste à gérer les crises…

Une véritable politique numérique doit reconnaître que la protection des données critiques est un impératif de service public. À ce jour, nos gouvernements ont plutôt choisi de laisser ces ressources précieuses aux bons soins d’Equifax et des autres sociétés multinationales qui cumulent leur lot d’incidents de données. Le Québec s’apprête même à s’enfoncer plus profondément dans cette impasse en jetant nos données entre les mains d’oligopoles principalement imputables aux marchés boursiers.

À voir en vidéo