Fuite de renseignements: changer d’identité

La Commission parlementaire sur la fuite de renseignements personnels chez Desjardins n’a pas permis d’en savoir vraiment plus sur ce vol commis par un employé de l’institution financière. L’exercice, qui n’a duré qu’une seule journée, jeudi, a cependant soulevé l’enjeu de l’authentification de l’identité, basée sur un système archaïque qu’il faut changer, tout en touchant plus largement celui de la protection et de l’utilisation des renseignements personnels. De tels sujets auraient mérité des échanges beaucoup plus approfondis.

Le président du Mouvement Desjardins, Guy Cormier, a répété que « la fraude interne, c’est la plus difficile à contrer ». On veut faire « porter le bonnet d’âne » à Desjardins, s’est-il désolé. Même si d’autres institutions financières d’envergure se sont fait voler des renseignements personnels, dont Capital One, qui d’autre que la direction de Desjardins doit porter l’humiliant bonnet. On sait au moins que le « stratagème » que le simple employé a utilisé pour déjouer son employeur ne fonctionnera plus, a confirmé un des vice-présidents de l’institution.

Le p.-d.g. de l’Autorité des marchés financiers (AMF), Louis Morisset, est venu souligner la célérité avec laquelle Desjardins avait informé volontairement l’organisme d’encadrement et de surveillance, tout en confirmant que l’AMF était satisfaite des actions prises par Desjardins. La députée libérale Marwah Rizqy a embarrassé le p.-d.g. en relevant les difficultés que les membres de Desjardins avaient éprouvées pour s’inscrire au service de protection de crédit d’Equifax, offert par Desjardins, et pour obtenir ce service en français. La comparution par vidéoconférence d’un vice-président d’Equifax qui s’est exprimé essentiellement en anglais n’a rassuré personne.

Comme il l’a fait à quelques reprises, Guy Cormier a invité les pouvoirs publics à créer un système d’identité numérique en remplacement des méthodes actuelles d’authentification qui s’appuient sur le numéro d’assurance sociale, le permis de conduire ou la carte d’assurance maladie, ainsi que sur le recours au prénom de la mère du client.

Il est grand temps que le gouvernement québécois s’intéresse à cette question. L’identité numérique — la puce d’une carte de débit ou de crédit est une forme d’identité numérique — diminuerait grandement les risques. Comme toute carte d’identité, elle soulève toutefois des enjeux sociétaux et politiques qui dépassent les seuls domaines bancaire ou commercial. C’est à l’État d’y voir.

La ministre responsable de l’accès à l’information, Sonia LeBel, et le ministre délégué à la Transformation numérique, Éric Caire, sont directement concernés. Ce dernier prépare une politique sur la cybersécurité, tout en planchant sur les services numériques du gouvernement. Et on attend toujours le projet de loi du ministre des Finances, Eric Girard, qui entend encadrer les agences de crédit comme Equifax.

Sonia LeBel présentera l’an prochain un projet de loi pour revoir la Loi sur la protection des renseignements personnels dans le secteur privé dont la dernière mouture remonte à 1993. À l’heure actuelle, les institutions financières et les entreprises n’ont aucune obligation de divulguer les fuites de renseignements personnels de leurs clients. La collecte et l’utilisation des données par les géants du web seront également visées par le projet de loi de la ministre.

C’est un vaste chantier que viendra compliquer l’émergence des registres distribués, issus des « chaînes de blocs », une technologie qui présente d’autres possibilités que la cryptomonnaie, notamment en matière d’authentification. Osons espérer que la prochaine législation ne sera pas en retard d’une révolution technologique.

LE COURRIER DES IDÉES

Recevez chaque fin de semaine nos meilleurs textes d’opinion de la semaine par courriel. Inscrivez-vous, c’est gratuit!


En vous inscrivant, vous acceptez de recevoir les communications du Devoir par courriel.

8 commentaires
  • Mario Jodoin - Abonné 23 novembre 2019 01 h 52

    Ça continue...

    «La députée libérale Marwah Rizqy a embarrassé le p.-d.g. en relevant les difficultés que les membres de Desjardins avaient éprouvées pour s’inscrire au service de protection de crédit d’Equifax, offert par Desjardins, et pour obtenir ce service en français»

    J'ai justement inscrit une personne aujourd'hui à Equifax. Ce fut beaucoup plus rapide que lorsque je l'ai fait pour moi il y a quelques mois, mais j'ai encore dû enlever l'accent aigu dans «Montréal» pour réussir à le faire. Bonne chance aux Hélène ou aux Gérald de ce monde!

    • Cyril Dionne - Abonné 23 novembre 2019 11 h 08

      À quelle vous vous couchez le soir? (23 novembre 2019 01 h 52) Ah! les soldats de QS.

    • Cyril Dionne - Abonné 23 novembre 2019 12 h 28

      Erratum.

      C'est bien à quelle heure vous vous couchez le soir?

    • Marc Therrien - Abonné 23 novembre 2019 13 h 23

      M. Dionne,

      Vous pourriez aussi poser cette question à votre commentatrice favorite qui elle aussi, j'imagine, aime bien apparaître en tête de lice du fil de commentaires.

      Marc Therrien

    • Cyril Dionne - Abonné 24 novembre 2019 10 h 35

      Contrairement à vous M. Therrien, je n'ai aucun favori. Je constate les faits et c'est tout. Le verre n'est pas à moitié vide ou bien à moitié plein, il est remplit à 50%. Et j'ai dit cela sans citer aucun philosophe mort et enterré.

    • Marc Therrien - Abonné 24 novembre 2019 15 h 03

      M. Dionne,

      Compte tenu de la mauvaise foi qui se dégage trop souvent de vos propos, je peux vous dire sans citer aucun philosophe ni vivant ni mort que je ne vous crois pas. Il semble vrai cependant que vous êtes plus enclin à vouloir disqualifier ceux que vous détestez qu'à encenser ceux que vous appréciez. Connaissez-vous dans l'histoire des idées un rationnaliste qui avait en même temps le caractère émotif d'un grincheux?

      Marc Therrien

  • Cyril Dionne - Abonné 23 novembre 2019 07 h 58

    Obsolescence programmée

    Avant de commencer, il faut le dire, rien ne peut garantir que nous sommes immunisés contre le vol d’identité. Rien. La plupart des dits « hackers » n’utilisent pas des algorithmes sophistiqués pour voler des données, seulement la bêtise humaine de gens qui travaillent à l’intérieur de la boîte. 95% de ce type de vol est interne, que ce soit fait de facon consciente ou inconsciente. Tout cela pour dire que votre identité numérique est composée de données qui sont stockées sur des serveurs dans le nuage ou ailleurs. Si toute cette belle information n’est pas cryptée et que tout le monde à l’intérieur peuvent lire les contenus avec l'aide d'une clé ou non, vous savez que vous n’avez rien accompli.

    Ceux qui ne peuvent pas entrevoir la menace potentielle d’une identité numérique pesant sur les droits civiques et le respect de la vie privée, eh bien, ils ont besoin des lunettes. Cela deviendra de plus en plus facile de contrôler les populations puisque vous avez non seulement toutes les informations discrètes d’une personne en temps réel à porter de la main, mais aussi son comportement social qui sont évalués à l’aide de l’intelligence artificielle vu ses achats et demandes de services gouvernementaux. Couplez tout cela à la reconnaissance faciale, qui aujourd’hui, sont munis de capteurs biométriques sans fil qui peuvent presque savoir ce que vous pensez en temps réel, et voilà, 1984 de George Orwell vous apparaîtra comme un conte pour enfant.

    Vous savez, le vieux papier crayon est la meilleure méthode pour préserver ses données personnelles. Un signal électronique peut être intercepté et manipulé à la guise de ceux dont les intentions ne sont pas souvent très pures. C’est peut-être pour cela que les services de contre-espionnage en Russie n’utilisent plus la communication électronique pour garder leurs secrets d’état. Ils ont inventé des codes à partir des comportements humains et autres pour disséminer l’information sensible aux personnes ciblées.

  • Marc Davignon - Abonné 23 novembre 2019 10 h 25

    Non!

    Vous faites fausse route. Le besoin irrépressible d'obtenir un moyen <d'identification> (ce qui n'est pas une identité!) se sert que des besoins purement économiques : des échanges entièrement par voix <électronique>. Mais, votre identité, l'individu est-il seulement une transaction commerciale?

    Dire que le système <actuel est archaïque> n'est pas vrai. Rien ne remplacera, jusqu'à maintenant et pour un futur <raisonnable> ne remplaceras la reconnaissance d'un individu par ... un autre individus.

    Prendre le nom de la mère? Cela permet de rendre <identification> unique.

    Tout peut être copié, comme cette copie qui représente le vol d'informations.

    Non!

    Pour ne pas avoir de vole d'information, il faut limité (rendre plus difficile) les moyens par lesquels ... on peut copier les données, soit, ladite information <d'identification> (qui ne devient toujours pas <identité>, il ne faut pas confondre).

    Une suggestion, convertir toutes les stations de travail (le <PC> avec tous les trous dans lesquels ont peut insérer des clefs ou cartes) en <terminal> (moins de trous). Ne plus faire des rapports sectoriels (pour leurs fameux indicateurs) par les cadres(les commis en fait à qui ont donné les accès que ne devrait pas avoir) en <pompant> les données par des <liens ODBC> (avoir un réel secteur <informatique> et non pas un secteur des <technologies de l'information>, car, vous savez, un crayon et du papier sont des technologies de l'information).

    L'entreprise, or, le PDG, doit mettre en place des mesures pour empêcher le vol. N'est-ce pas là sa responsabilité première, surtout quand on parle de banque.

    Ici, ce n'est pas un problème d'identification, c'est un problème de vol d'information. Que devons-nous faire pour <notre argent> que nous leur confions?

    Il faut faire attention de ne pas confondre le réel enjeu ici : le vol. Pas <l'identification> (qui ne deviendras toujours pas une identité).