Bien trop naïfs

Soyons directs : en matière de cybersécurité, le Canada est en retard d’une génération quant aux enjeux posés par la circulation légale ou frauduleuse des données personnelles et à leur utilisation dans le commerce autant que dans le monde interlope.

L’affaire du vol des renseignements personnels de plus de 2,9 millions de membres de Desjardins en est l’exemple le plus récent et le plus retentissant, du moins au Québec, puisqu’il passe un peu sous le radar ailleurs au pays. Pourtant, d’autres banques telles la BMO et la CIBC ont subi de tels vols de données et, chaque jour, des Canadiens de toutes les régions sont victimes de vols d’identité quant ils ne sont pas naïvement eux-mêmes fournisseurs de données personnelles en échange d’un accès gratuit à des gadgets, des applications et des sites web.

En prévision de son passage devant le Comité permanent de la sécurité publique à Ottawa, lundi, le p.-d.g. de Desjardins, M. Guy Cormier, a annoncé que tous les membres du mouvement seraient désormais couverts par une protection permanente et remboursés sans limites en cas de transactions frauduleuses sur leurs comptes Desjardins. Ils auront aussi accès à un soutien individuel en cas de vol d’identité survenu en dehors des activités de la coopérative. Ces mesures s’ajoutent à la surveillance du dossier de crédit confiée à Equifax pour les cinq prochaines années.

C’est la première fois au pays qu’une institution financière offre une telle protection à sa clientèle, et il serait normal que toutes les institutions financières en fassent autant.

Pour le moment, aucune pénalité conséquente n’est prévue par nos lois fédérales ou provinciales en cas de défaut des entreprises et des institutions de protéger adéquatement les renseignements personnels de leur clientèle. Même le Commissariat à la protection de la vie privée n’a d’autre pouvoir que celui de blâmer une société défaillante et de négocier des changements jugés nécessaires. C’est d’ailleurs ce qui s’est passé à la suite du vol de renseignements personnels de 143 millions de clients d’Equifax survenu en 2017, celle-là même vers qui Desjardins s’est tournée pour offrir une protection temporaire à ses membres victimes de vol.

Aux États-Unis, Facebook devra verser 5 milliards pour avoir dérogé à son engagement en vendant des données à la firme Cambridge Analytica, alors qu’en Grande-Bretagne, British Airways vient d’être condamnée à une amende de 300 millions après s’être fait voler les renseignements personnels de 240 000 clients.

Au cours des derniers jours, des dizaines de milliers de Québécois ont signé une pétition en ligne réclamant d’Ottawa qu’il change le numéro d’assurance sociale (NAS) des individus victimes du vol de données chez Desjardins. On partage leur inquiétude, mais de changer le NAS ne réduirait pas le risque de fraude, estiment les experts. Au contraire, puisque chacun devrait dès lors s’assurer que ni l’ancien ni le nouveau numéro ne font l’objet d’un usage frauduleux.

D’autres ont proposé la création d’une identité numérique individuelle en plus du NAS, comme c’est le cas dans certains pays européens. Voilà qui mérite certainement d’être étudié, même en sachant que certains défenseurs des libertés individuelles s’opposeront à ce qui pourrait être associé à une mesure de contrôle supplémentaire de l’État.

« Le piratage est le nouveau champ de bataille moderne », écrivait récemment le journaliste Patrick White dans nos pages, et une source inépuisable de revenus potentiels pour le crime organisé, pouvons-nous ajouter.

Pour faire face à la menace, certains gouvernements, comme ceux des États-Unis, de Russie ou d’Israël, investissent des sommes colossales alors que d’autres, comme le Canada, font toujours confiance à la bonne foi des entreprises et des individus. Même les géants du Web reconnus pour leur voracité en matière de collecte de données personnelles trouvent grâce aux yeux de nos élus.

L’affaire Desjardins doit avoir des suites qui sortent des murs de la coopérative. L’ère dans laquelle nous entrons sera celle des données numériques que toutes les sociétés s’arracheront pour alimenter leurs activités stimulées par l’entrée en scène de l’intelligence artificielle. Des données qui ne leur appartiennent pas et dont le commerce menace non seulement notre situation financière et notre vie privée, mais aussi la vie politique.

Au lieu de suivre le défilé, nos gouvernements doivent adopter de façon urgente un cadre législatif exigeant accompagné des outils de protection appropriés pour redonner aux individus le contrôle sur leurs données personnelles, même malgré eux s’il le faut.

LE COURRIER DES IDÉES

Recevez chaque fin de semaine nos meilleurs textes d’opinion de la semaine par courriel. Inscrivez-vous, c’est gratuit!


En vous inscrivant, vous acceptez de recevoir les communications du Devoir par courriel.

9 commentaires
  • Nadia Alexan - Abonnée 16 juillet 2019 03 h 01

    Il faut réglementer les banques et les entreprises avec des lois contraignantes.

    Je suis entièrement d'accord avec vous, monsieur Sansfaçon, que le Canada est en retard d’une génération quant à la protection des données personnelles de ses citoyens. Le gouvernement doit réglementer les banques et les entreprises privées avec des lois contraignantes pour qu'elles protègent les renseignements personnels de leurs clients.
    Et en passant, l’émission de la CBC « Marketplace» a démontré que l’Entreprise américaine EQUIFAX n’est pas fiable du tout.

    • Françoise Labelle - Abonnée 16 juillet 2019 09 h 46

      D'accord avec vous, bien que je pense qu'on va protèger la finance et le crédit avant tout, comme 2008 l'a montré. Il y a quelques années, ce sont les institutions financières qui vérifiaient votre solvabilité. Ils ont maintenant sous-traité cette vérification, maintenant centralisée, ce qui les déresponsabilise et rend le crédit plus facile. Dans le cas de Desjardins, il ne s'agit pas d'un piratage, mais de la trahison d'un employé. Ça ressemble plus au cas de la Barings Bank. Être victime de piratage est plus honteux, à mon avis, puisque ça vient de l'extérieur. Equifax, après avoir colmaté leur brèche informatique, pourrait aussi être victime d'une trahison semblable.
      La décentralisation a des vertus, et pas seulement en politique.

      Selon Marketplace, le verrouillage du dossier est un moyen efficace pour protéger les dossiers de crédit. Ce sont les mesures habituelles au Canada qui sont inefficaces («Credit freezes are one easy way to protect against identity fraud»). Les américains sont protégés adéquatement suite au piratage chez Equifax.
      Si le dossier est verrouillé, une note y apparaît indiquant qu'il faut l'autorisation de la personne concernée avant l'ouverture d'un nouveau crédit, le tout sujet à un mot de passe.

      Je suis pessimiste en ce qui concerne la prévention du piratage: Israël et les USA sont soupçonnés d'avoir créer de nouveaux virus, pour la «bonne cause», qui importe peu au virus qui se répand dans la nature.

    • Cyril Dionne - Abonné 16 juillet 2019 09 h 57

      Quelles différences cela va faire de réglementer les banques et les entreprises avec des lois contraignantes sur le vol d’identité? Oui, le Canada est en retard sur la cyberfraude et les cybercrimes, mais n’est pas plus vulnérable que les autre pays. En fait, malgré toutes les démarches entreprises, personne n’est à l’abri en informatique. Personne. Un signal électronique est vite intercepté. Pardieu, Staline faisait de l’écoute téléphonique en 1927 en Russie.

      Pensez-vous pour un instant que votre dossier de Revenu Canada n’est pas consulté par des personnes mal intentionnés? Idem pour votre dossier médical s’il est informatisé. Le Québec a un avantage dans ce domaine puisqu’il en est encore à l’étape de les numériser.

      Ceux qui ont entendu parler de Stuxnet comprennent. C’était un ver informatique découvert en 2010 qui aurait été conçu par la « National Security Agency » (NSA) en collaboration avec l'unité israélienne 8200 pour s'attaquer aux centrifugeuses iraniennes d’enrichissement d'uranium. Il a été très efficace puisqu’il avait stoppé net la fabrication du plutonium propre à une ogive thermonucléaire. Les centrifuges ont commencé à tourner à excès et exploser sans que les indications sur les tableaux de contrôle indiquent quelconques anomalies. Et comment ont-ils fait pour pénétrer ce site hautement gardé et sécurisé? Par un complice à l’intérieur du site avec une clef USB en main. En fait, la plupart des systèmes de pénétrations informatiques sont dû au facteur humain. Idem pour le cas de Desjardins. Ce n’est pas si facile de déjouer et hacker des algorithmes avec 16 caractères et plus même avec les super ordinateurs. Il faudrait des ordinateurs quantiques.

      Nous sommes à l’ère des médias sociaux où presque tout le monde inclut des informations sensibles personnelles sur ces réseaux. Facebook est le plus pire de ceux-là. Personne n’a pas encore compris que lorsque vous publiez sur ces sites, l’information et le contenu ne vous appartiennent plus?

    • Serge Lamarche - Abonné 16 juillet 2019 13 h 57

      À mon avis, on aura beau légiférer, l'espionage industriel et criminel sera impossible à contrer. Il sera plus difficile pour un temps peut-être. Il faut faire avec. Comme fb, où l'on met soi-même de l'information, il faut faire avec. Il est impossible de se connecter sans informer qui que ce soit. Impossible de faire des omelettes sans casser des oeufs. Et quand on jette nos coquilles d'oeuf, on informe les poubelles. Quand on achète des oeufs, on informe notre épicerie.

    • Jean-François Trottier - Abonné 17 juillet 2019 08 h 38

      Parfaitement d'accord, M. Lamarche

      - Les cryptomonnaies, parce qu'elles échappent à toute réglementation, sont en voie de rendre la finance totalement indépendante de tout gouvernement, même de loin.

      - D’ici très peu de temps les ordinateurs quantiques vont rendre toute tentative de sécurité illusoire. En quelques secondes n'importe quel mot de passe ou même cryptage d'iris pourra être déchiffré.

      Tout ceci au service de gens les plus riches du monde, des sociopathes incapables de penser plus loin que leur famille, plus rarement leurs amis.
      Parmi ces sociopathes qui nous dirigent, un grand nombre de psychopathes. Des vrais de vrais de vrais fous qui considèrent la morale autant qu'un nez de clown, même pas drôle.

      Il n'y a aucune raison de craindre une ère de robots du genre Terminator. Craignez ceux qui les dirigent, ici, maintenant et demain matin.

      Au sujet des ordinateurs quantiques, la solution existe jusqu'à un certain point : il faut les rendre disponible à tous pour que l'information ne soit surtout pas exclusive.
      Quand tout le monde connaît ton NAS, quel est l'intérêt de le connaître?

      On devra trouver une autre façon d'identifier chaque individu, sans numéro.
      Comme au Lac, tel Tremblay est Pierre à Jean à Jules de La Doré. Les Innus et pas mal tous les Amérindiens l'utilisaient en matrilinéarité.
      C'est évidemment trop limité dans notre monde écartelé. Faut trouver autre chose.
      L'imagination est plus que jamais nécessaire.

      Mais protéger ses secrets ? Oubliez ça! Le village des commères de McLuhan est là pour rester.
      Le secret doit disparaître pour protéger l'individu.

      Cryptomonnaies : le pire serait que les gouvernements décident de s'en servir! Ça finirait de les corrompre totalement.

      Il faut les rendre illégales et les combattre par des moyens informatiques drastiques, qui passent possiblement par l'abolition de TCPIP.
      Pour en finir avec les "adresse noires".

      Difficile, vous dites?

      :)

  • David Cormier - Abonné 16 juillet 2019 10 h 06

    Nos dossiers de crédit entre les mains de sociétés obscures

    Cette affaire a fait ressortir une question que je me pose depuis des années : comment se fait-il que nos dossiers de crédit soient du ressort d'obscures entreprises privées, comme Equifax, qui semblent n'avoir de compte à rendre à personne? Essayez d'appeler chez Equifax pour obtenir votre dossier de crédit et vous verrez que c'est la croix et la banière (et c'était déjà le cas avant l'engorgement causé par l'affaire Desjardins). De plus, si vous réussissez à avoir votre dossier et votre cote, on vous balance un chiffre comme ça sans fournir aucun justificatif sur ce qui a mené à une telle évaluation.

  • François Boulay - Abonné 16 juillet 2019 10 h 46

    Renseignements personnels

    Non seulement légiférer pour protéger les renseignements, mais pour faire cesser cette pratique de donner une carte de crédit ou un financement de plusieurs milliers de $ - ils sont même souvent très insistants - en deux minutes après une vérification trop sommaire. Signez ici , VOTRE CRÉDIT EST DÉJÀ APPROUVÉ, qu'ils nous disent au moins une fois par mois. C'est beaucoup trop facile pour les fraudeurs surtout quand ils possèdent nos informations. Obliger des vérifications supplémentaires, comme une simple lettre de confirmation avant l'approbation du crédit réduirait de beaucoup les fraudes.

    • Serge Lamarche - Abonné 16 juillet 2019 14 h 00

      Le problème est que le coût des vérifications dépasse le coût des fraudes. Les chèques n'ont même plus besoin d'être signés pour être encaissés. Les banques ont un budget de fraude.

  • Pierre Fortin - Abonné 16 juillet 2019 12 h 05

    Une simple question de néophyte


    Pourquoi ne serait-il pas possible, faute de mieux et afin de limiter les dommages pour tous ceux dont les informations relatives à leur identité ont été dérobées et qui risquent de se retrouver avec des engagements financiers qu'ils n'ont jamais contractés, d'adopter une mesure de protection simple ?

    Pourquoi ne pas obliger les institutions financières, ainsi que les notaires et les autres intervenants légaux, à vérifier d'abord que les données personnelles du contractant, avec qui ils s'apprêtent à officialiser un prêt ou une hypothèque, n'apparaissent pas parmi celles qui ont été volées chez Desjardins ? Le cas échéant, des vérifications plus poussées permettraient de clarifier les choses en protégeant les victimes et en exposant les institutions financières négligentes à d'éventuelles poursuites judiciaires pour transaction frauduleuse.

    Une telle vérification pourrait se faire simplement et à peu de frais, sans exposer davantage les victimes ni exiger des structures complexes de contrôle administratif.