Nouveaux NAS, vieux paradigme

Selon le chercheur José Fernandez, c’est le recours même au NAS comme identifiant unique qu’il faut repenser, davantage qu’une remise des compteurs à zéro pour les citoyens touchés par une brèche de sécurité.
Photo: Valérian Mazataud Le Devoir Selon le chercheur José Fernandez, c’est le recours même au NAS comme identifiant unique qu’il faut repenser, davantage qu’une remise des compteurs à zéro pour les citoyens touchés par une brèche de sécurité.

Exposées à un risque élevé de vol d’identité, des victimes de la brèche de sécurité chez Desjardins exigent l’implantation de mesures de protection renforcées. Lundi en fin d’après-midi, plus de 83 000 personnes avaient signé une pétition, lancée par Pierre Langlois, dont l’objectif est de demander aux instances fédérales de remplacer les numéros d’assurance sociale (NAS) des victimes du vol massif de données.

Outil d’authentification obsolète, le numéro d’assurance sociale ?

En partie, estime José Fernandez, professeur titulaire au Département de génie informatique et génie logiciel de Polytechnique Montréal, qui rappelle que dans un contexte où des magasins, des institutions financières, des employeurs recueillent les NAS des citoyens, cette information ne peut plus être qualifiée de « secrète ».

En Europe, la carte d’identité à puces comporte la photo, la biométrie de son usager, qui est dotée d’une clé privée que seul le citoyen connaît. La puce permet de signer numériquement des documents, avec un NIP pour protéger les informations.

José Fernandez juge que le Canada doit ni plus ni moins envisager un changement de paradigme de société en matière de gestion des données personnelles. Selon ce chercheur, c’est le recours même au NAS comme identifiant unique qu’il faut repenser, davantage qu’une remise des compteurs à zéro pour les citoyens touchés par une brèche de sécurité. De plus, il faudrait selon lui s’inspirer de pays comme la France, la Belgique, l’Espagne, la Malaisie ou les Philippines, qui ont développé des systèmes de cartes d’identité uniques qui contiennent la somme des informations de leurs détenteurs.

« En Europe, la carte d’identité à puces comporte la photo, la biométrie de son usager, qui est dotée d’une clé privée que seul le citoyen connaît. La puce permet de signer numériquement des documents, avec un NIP pour protéger les informations », illustre M. Fernandez, qui cite l’exemple de l’Estonie, où la carte d’identité peut tout autant servir à faire l’acquisition d’une voiture qu’à transmettre sa déclaration d’impôts.

En d'autres termes, l’idée est de revoir la fonction même du numéro d’assurance sociale, souligne José Fernandez. « En Europe, l’équivalent du NAS est un numéro d’identité qui est protégé par une clé d’identification publique et privée. »

Le NAS à tout vent

Au bureau du ministre responsable de Service Canada, Jean-Yves Duclos, on publiait lundi la déclaration suivante, à propos de la question du NAS :

« Nous comprenons les préoccupations et les inquiétudes des personnes touchées. Le gouvernement du Canada est déterminé à protéger les numéros d’assurance sociale (NAS) contre la fraude et l’usage inapproprié, ainsi qu’à protéger la vie privée des Canadiens. Nous estimons que toute atteinte à la sécurité touchant les renseignements relatifs aux numéros d’assurance sociale est très grave. Notre gouvernement est en communication avec l’Autorité des marchés financiers (AMF) afin d’offrir tout le soutien nécessaire dans ce dossier. »

Sur le portail de Service Canada, on incite ces jours-ci les citoyens à faire preuve de prudence dans la divulgation de leur numéro d’assurance sociale, invitant notamment la population à ne divulguer le NAS que s’il est légalement requis et à conserver tout document comportement ce numéro en lieu sûr (mais pas sur soi).

Légalement parlant, les institutions financières peuvent demander le NAS d’un client dans le cas où des intérêts ou un revenu sont versés à celui-ci. En revanche, nul n’est tenu de donner son numéro d’assurance sociale pour une demande de carte de crédit ou pour contracter un prêt bancaire ou hypothécaire.

Pistes de solution

Lundi après-midi, les commissaires à la protection de la vie privée du Québec et du fédéral annonçaient l’ouverture d’une enquête sur le vol massif de données personnelles chez Desjardins.


« Les enquêtes permettront de déterminer si l’organisation a respecté la Loi sur la protection des renseignements personnels dans le secteur privé en vigueur au Québec et la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada », indiquait le communiqué de presse relatif à cette enquête.

Invité par Le Devoir à commenter la question du numéro d’assurance sociale, le Commissariat à la vie privée du Canada a décliné notre demande d’entrevue, nous invitant à consulter la page de Service Canada destinée aux personnes qui soupçonnent que leur NAS a été utilisé frauduleusement. Le chef du Parti conservateur du Canada, Andrew Scheer, a quant à lui demandé la tenue d’une réunion d’urgence du comité de la Sécurité publique et nationale dès cette semaine, sur le vol de données personnelles au Mouvement Desjardins, demandant une rencontre avec ses députés pour envisager des pistes de solution pour prévenir le vol des données personnelles, comme l’émission d’un nouveau numéro d’assurance sociale.

Sur la pertinence de la pétition demandant un remplacement des NAS, José Fernandez juge que ce n’est probablement pas la meilleure approche pour régler le problème. « C’est l’équivalent de changer de nom, pour éviter le vol d’identité. »

11 commentaires
  • Christian Montmarquette - Abonné 9 juillet 2019 08 h 30

    La carte puce fais déjà consensus

    La pétition lancée par Pierre Langlois était selon moi, surtout une mobilisation pour faire bouger le gouvernement et venir en aide aux victimes.

    On peut d'ailleurs y lire :

    « Nous demandons que le gouvernement propose une solution rapide à ce problème "POUVANT" inclure le remplacement du Numéro d'assurance sociale de tous ceux qui ont été victimes de ce vol.. »

    https://www.change.org/p/gouvernement-du-canada-remplacer-les-num%C3%A9ro-d-assurance-social-des-victimes-du-vol-de-donnees?

    Je ne croirais pas me tromper de beaucoup en affirmant que l'idée de la création d'une carte à puce d'identité fait déjà pas mal consensus. 

L'essentiel à retenir étant bien évidemment de créer une carte d'identification sécuritaire disposant de son propre NIP secret et pouvant être modifier au besoin.

    Christian Montmarquette

    • Christian Montmarquette - Abonné 9 juillet 2019 10 h 05

      Correction: pouvant être "modifiée" au besoin.

    • Jean-Yves Arès - Abonné 9 juillet 2019 13 h 59

      Pour remplacer la méthode il faut tout de même avoir une liste de référence non-corrompue.
      Hors en 2002 le de numéro sur la liste des numéros d'assurance sociale dépassait de 5 millions le nombre citoyen canadien du recensement de l'époque.

      Citation (extrait du point 189)
      " Le nombre de NAS utilisables pour les personnes de 20 ans et plus dépasse de 5 millions la taille de la population établie lors du recensement. Même si DRHC a désigné des millions de NAS comme étant inactifs, ces derniers pourraient encore donner accès aux programmes de prestations fédérales sans qu'une enquête soit lancée. Enfin, le Registre d'assurance sociale contient encore 8,3 millions de fichiers NAS qui n'ont jamais été vérifiés auprès d'autres ministères ni appuyés d'une quelconque preuve d'identité. Ces NAS sont toujours utilisables.

      1.90 Depuis 1998, le Ministère a multiplié les enquêtes sur les fraudes relatives au NAS. Toutefois, il est difficile de juger si le nouveau degré d'effort est suffisant étant donné le peu de renseignements sur l'étendue de la fraude relative au NAS. Le Ministère n'a pas procédé à une analyse approfondie de risques qui servirait de base à ses efforts d'enquête.

      http://img110.xooimage.com/files/9/3/2/num-ro-d-as

      Comme c'est bien possible que le ménage ne soit pas vraiment fait en profondeur (et qu'un nombre énorme de fraude soit toujours en cour), s'attaquer a faire une transition vers une autre méthode d'identification risque de correspondre a mettre les pieds dans un nid de vipères...

    • Christian Montmarquette - Abonné 9 juillet 2019 15 h 54

      "Pour remplacer la méthode il faut tout de même avoir une liste de référence non-corrompue."-Jean-Yves Arès

      Je ne dis pas le contraire.

      Si l'État crée une nouvelle carte d'identité protégée, il me semble qu'il va de soi, qu'il doit commencer par vérifier la base de donnée dont il se servira avant d'en créer une nouvelle.

      Le gouvernement canadien le fait bien pour l'émission des passeports.

      Pourquoi ne pourrait-il pas faire de même pour l'émission de nouvelles cartes à puce d'identitée?

    • Jean-Yves Arès - Abonné 10 juillet 2019 09 h 45

      Je ne dis pas qu'il ne peut pas le faire, bien au contraire.
      Mais le faire, avec des vérifications physiologiques des individus (empreintes et autres) associés a chaque numéros va obligatoirement débouché sur une liste fort importante de fraudes toujours en cour. Le traitement d'une seule fraude demande un temps de fou. Juste a voir la cas publié hier de la dame qui détournait quelques 500$ par semaine de son employeur, Desjardins, pendant 8 ans.
      La fraude de quelques 300,000$ a été dévoilée en 2009. L'enquête policière a débouchée sur des accusation 5 ans plus ... Et le procès vient de se conclure. Donc 10 ans de procédures pour une seule fraude. Maintenant imaginez un peu le nombre de fraudes actives qui peuvent être mise a jour quand on sait que des millions de NAS de plus que la population réelle sont actifs. Alors que les systèmes policier et judiciaire sont habitué a une routine ou moins tu bouge mieux c'est.
      J'imagine que les politiciens ne sautent pas joie devant une telle perspective, alors qu'ils ont toujours les pieds empêtrés dans la mise ne place du système de paye phénix.

      https://www.lapresse.ca/actualites/justice-et-faits-divers/201907/08/01-5233205-une-employee-de-desjardins-vole-300-000-en-huit-ans.php

  • Bernard Terreault - Abonné 9 juillet 2019 09 h 07

    Le NAS

    Technologie moyennâgeuse. Passons au 21ième siècle !

  • Eloise Lapointe Leblanc - Abonnée 9 juillet 2019 09 h 22

    comme si c'était de notre faute

    "Sur le portail de Service Canada, on incite ces jours-ci les citoyens à faire preuve de prudence dans la divulgation de leur numéro d’assurance sociale, invitant notamment la population à ne divulguer le NAS que s’il est légalement requis et à conserver tout document comportement ce numéro en lieu sûr (mais pas sur soi)."

    Comme si on avait eu le choix de ne pas leur donner notre NAS. C'est une entreprise de services bancaires qui doit (supposément) connaître notre cote de crédit. On ne se pose même pas de question quand ils demandent notre NAS, on sait très bien pourquoi. Ce segment de l'article m'a fait sourciller car, même s'il est vrai qu'on ne doit pas divulguer notre NAS à tout vent, ce n'est pas de la faute des clients de Desjardins si leurs informations ont été volées.

    • Marc Davignon - Abonné 9 juillet 2019 11 h 06

      La ville de Montréal (ville intelligente%!$!#@@!%!%?) demandait (ou demande encore?) le NAS pour faire la création d'un accès (accès Montréal, imaginez!). Une plainte fut faite devant cet abus.

      Mais, mettez-vous à la place des développeurs, comment faire la création d'un compte avec un numéro unique? Comment? Des génies de l'informatique.

      Mais où se trouvait le gestionnaire qui devait appliquer les règles de gestion (il y a de ce genre de contraintes logiciel ... non fonctionnelles).

      Il y a de la gestion qui se perd!

  • Chris Dupont - Inscrit 9 juillet 2019 09 h 48

    Ridicule

    Ça me faire rire quand le gouvernerment "insite les citoyens a être prudents lorsqu'ils divulgent leur NAS". C'est tout aussi idiot que de dire à une fille de ne pas mettre une jupe trop courte pour éviter le viol: ça rend les victimes coupables. Comme si la seule raison qu'on se fait voler son identité est parce qu'on a été négligent.

    En refusant de réfléchir a un système moins poreux que celui du NAS, le gouvernement se fait complice des crimminels qui savent en user. Et ils savent, beaucoup mieux que les simples citoyens qui croient encore que ça sert seulement à se trouver une job et remplir ses impôts. Voici ce que j'avais joins à mon nom dans cette pétition:

    "Je signe parce que malgré ma diligence, des fraudeurs ont obtenue mes informations et ont commis des délits à l’aide de ceux ci. Cela fait des mois que je galère pour y mettre un terme, je dors mal et angoisse tout en sachant que je n’obtiendrai jamais réparation et pire, que cette boucle peut se reproduire indéfiniment, car rien n’empêche mes informations de se retrouver dans d’autres mains. Cerise sur le sunday, j’apprend que la grande majorité de ma famille est concernée par le vol de donnée chez Desjardins et peuvent se retrouver dans la même situation que moi. Je ne sais pas comment faire pour retrouver ma sérénité. On m’a dérobé de ma quiétude en toute impunité. Et le gouvernement n’a pour l’instant aucune solution pour protéger ses citoyens de ce genre de crime. Pire, pas son manque de proactivité dans l’élaboration d’un système d’indentification moderne il se fait complice des criminels qui savent mieux que nous comment utiliser un NAS pour en tirer des profits. Sortez nous de cette prison qu’est le NAS et donnez nous un système vraiment efficace (btw, les cartes de crédit on un système déjà beaucoup plus efficace avec un no de compte et un no de carte associé au compte. La carte se change aux 4 ans, et c’est elle qui est utilisé et non le no de compte). "

    Le problème n'est pas Desjardi

    • Gilles Théberge - Abonné 9 juillet 2019 11 h 02

      Effectivement la problème ce n’est pas Desjardins, c’est Le loi obsolète qui nous tient enfermé avec le numéro d’assurance sociale qui ne nous protège absolument pas de la fraude.

      Exigeons des méthodes plus modernes, incluant des données biométriques, que personne d’autre que nous ne pourra utiliser.

  • Marc Davignon - Abonné 9 juillet 2019 10 h 47

    HOUUUUUUUU.

    La technologie à la rescousse. Pourtant, c'est cette même technologie qui est à l'origine de cette situation! Ne trouvez-vous pas cela troublant?

    Certains pourraient dire qu'un vaccin c'est l'injection de la maladie qui permet de prévenir de cette même maladie! Hum!

    Recourir à une solution créée par l'humain pour <corrigé> un problème créé par l'humain? Le virus n'est pas une création humaine!

    Il ya de ceux qui ne jure que par la techno. Or, voici une irrésistible envies de suggérer une solution techno pour <réparer> (une rustine????!!!!) les failles technos. HA! L'identifiant pouvant prouvé que vous êtes qui vous êtes! Comment? Avec une puce et une clef cryptographique de la dernière génération. Il faut ce qu'il y a de mieux .... la dernière. Le problème, c'est que la dernière ne dure que 18 mois. Or, nous serons toujours à la course de la dernière trouvaille de la cryptographie (zut, le téléphone, vieux de trois ans, ne supporte plus les nouvelle applications .... zut, zut de rezut), puce et tout autre <bébelle> techno pour vous assurer que vous êtes bien celui que vous prétendez être.

    Ils sont drôles ceux-là qui croit que la félicité de l'humain sera obtenue par la techno.

    Que les entreprises investissent dans des <comptoirs> locale ou des gens pourrons témoigné de l'existence de la personne .....

    Mais, cela fera grincer des dents tout ces <fous de la techno> qui perçoivent ce domaine comme de la magie. En effet, avec l'informatique, tout fonctionne tout seul. Allez, hop! On imagine un bidule et voilà, il ne s'agit que de faire ceci est cela, monté un serveur Web, faire des pages (JavaScript, pour sûr, avec une architecture SOA comme REST, ou encore, plus exotique, CORBA, ce qui rend la chose plus amusante) qui valideras la puce avec un lecteur qui seront tous interrelié (grâce à la magie nuagique) et le miracle se produit. FACILE!

    Bébé fafa.