À bas le courriel!

TikTok, Windows, l’App Store, la plupart des comptes bancaires et même certains services gouvernementaux ont tous un point en commun. L’identité numérique québécoise qui devrait voir le jour dans les prochains mois ne doit pas tomber dans le même piège.

Tout indique que ce ne sera pas le cas. Le Service québécois d’identité numérique est responsable de cette identité numérique québécoise qui devrait entrer graduellement en service ces prochains mois. Le premier objectif est de remplacer l’outil ClicSéqur, qui donne présentement accès à certains services gouvernementaux, y compris ceux de Revenu Québec.

Déjà, les responsables du service ont indiqué qu’ils éviteraient de reproduire la même erreur que bien d’autres services sécurisés en créant un identifiant numérique unique pour chaque utilisateur qui ne serait pas lié à leur adresse courriel ni même à leur numéro de téléphone mobile.

Bien qu’ils continuent d’être la norme pour utiliser des services en ligne, le courriel et le numéro de cellulaire sont aussi parmi les identifiants que les pirates informatiques ont le plus de facilité à obtenir.

Surtout le courriel. Car même s’il est annoncé comme mort depuis plus de 20 ans, le mail, comme on l’appelle en France, est de loin le moyen le plus courant utilisé sur Internet encore aujourd’hui. Si ce n’est pas un identifiant direct, c’est par lui qu’on récupère une information de connexion égarée.

Plus que jamais, donc, le courrier électronique est probablement la clé la plus précieuse que tout internaute accroche à son trousseau numérique.

Or, c’est aussi la principale porte d’entrée qu’utilisent les cyberpirates pour soutirer de l’information personnelle à des internautes qui sont soit distraits, soit maladroits, soit imprudents. Pour accéder à la plupart des services Web, on utilise une adresse courriel jumelée à un mot de passe, qui lui aussi peut être facilement déjoué.

Incarnez Harry Potter

 

On peut se connecter à la plupart des services en ligne sans mot de passe en répondant à des questions de sécurité qui sont parfois un peu trop précises.

Ces questions sont personnelles. Il suffit pour les malfaiteurs désirant répondre à ces questions d’un peu de ce que les experts appellent « l’ingénierie sociale », une méthode d’extorsion d’information sensible par des moyens détournés. Comme ces questionnaires prétendument amusants qu’on trouve notamment sur Facebook.

Quel était le nom de votre premier animal de compagnie ? La marque de votre premier véhicule ? Les films préférés de votre jeunesse ? Les villes où vous avez voyagé en avion ? On trouve ces questions aussi bien dans ces questionnaires que dans le service de récupération de mot de passe de certaines grandes banques canadiennes…

Bref, si on veut prendre la sécurité informatique au sérieux, il faut mettre fin à cette pratique pour de bon. « D’autant qu’il existe beaucoup d’autres façons d’avoir des identifiants sécuritaire », dit Catherine Dupont-Gagnon, ex-analyste et experte en sensibilisation en cybersécurité. Mme Dupont-Gagnon est également bénévole au sein de l’organisme d’information sur la sécurité numérique Crypto Québec.

À propos des questions de sécurité, elle partage une astuce qui mérite d’être répétée le plus souvent possible : plutôt que de fournir les vraies réponses, il est plus sûr d’incarner un personnage imaginaire et d’utiliser les informations de ce personnage. Par exemple, l’école secondaire de Harry Potter s’appelle Poudlard.

Son premier animal de compagnie est probablement sa chouette Hedwige. Ainsi de suite. Cette astuce est bonne à une condition : vous devrez désormais incarner un personnage autre que Harry Potter !

Tout un fromage

 

« La sécurité informatique est comme un fromage suisse », ajoute Catherine Dupont-Gagnon. L’image est simple : quand on empile des tranches de ce fromage troué, chaque tranche additionnelle masque les trous de la tranche précédente.

D’où l’efficacité des services d’authentification à deux ou plusieurs facteurs. Le courriel et la messagerie texte ne sont pas les plus sécuritaires. Mis ensemble, ils le deviennent beaucoup plus. Il en va de même pour les outils biométriques particulièrement populaires du côté des appareils mobiles.

Ce moyen d’identification — rétine, visage ou empreinte digitale — comporte un autre défaut : elle ne peut pas être modifiée. La même chose vaut pour le numéro d’assurance sociale, qu’on ne peut pas faire changer. Si cette information tombe dans les mains d’une personne aux intentions malicieuses, c’est pour ainsi dire foutu.

C’est là où le Service québécois d’identité numérique fait le bon choix en optant pour un code qui n’a rien à voir avec ces différents identifiants : il sera difficile de l’obtenir sans l’accord de son propriétaire et, si jamais il tombe dans de mauvaises mains, on pourra toujours le changer.

La sécurité informatique n’est pas seulement un fromage. C’est aussi un jeu du chat et de la souris. Il suffit à la sécurité informatique d’être un pas en avance sur les cybermenaces pour réduire le risque d’une éventuelle faille majeure.

Pour cela, les experts recommandent d’adopter une gestion qui inclut une grande transparence sur les méthodes utilisées. L’identité numérique ne doit pas reprendre le modèle de l’application VaxiCode, avertit la représentante de Crypto Québec. « Le gouvernement a agi sans écouter les experts — et il y a eu plusieurs failles, qui ont dû être corrigées après son lancement. »

Un autre conseil des experts : informer le public sur les meilleurs moyens de se protéger. Dans cette optique, la chose la plus simple à faire pour le Service québécois de l’identité numérique serait justement d’adopter et d’imposer les meilleures pratiques existantes.

On ne sait pas si ce projet d’identité numérique facilitera, comme promis, l’accès aux services gouvernementaux par les particuliers et les entreprises québécoises. Mais s’il les mène à se débarrasser des mauvaises habitudes de sécurité informatique — et s’il aide à détrôner l’adresse courriel comme principal outil d’identification en ligne — ce sera déjà un succès.

À voir en vidéo