Nouveaux NAS, vieux paradigme

Selon le chercheur José Fernandez, c’est le recours même au NAS comme identifiant unique qu’il faut repenser, davantage qu’une remise des compteurs à zéro pour les citoyens touchés par une brèche de sécurité.
Photo: Valérian Mazataud Le Devoir Selon le chercheur José Fernandez, c’est le recours même au NAS comme identifiant unique qu’il faut repenser, davantage qu’une remise des compteurs à zéro pour les citoyens touchés par une brèche de sécurité.

Exposées à un risque élevé de vol d’identité, des victimes de la brèche de sécurité chez Desjardins exigent l’implantation de mesures de protection renforcées. Lundi en fin d’après-midi, plus de 83 000 personnes avaient signé une pétition, lancée par Pierre Langlois, dont l’objectif est de demander aux instances fédérales de remplacer les numéros d’assurance sociale (NAS) des victimes du vol massif de données.

Outil d’authentification obsolète, le numéro d’assurance sociale ?

En partie, estime José Fernandez, professeur titulaire au Département de génie informatique et génie logiciel de Polytechnique Montréal, qui rappelle que dans un contexte où des magasins, des institutions financières, des employeurs recueillent les NAS des citoyens, cette information ne peut plus être qualifiée de « secrète ».

En Europe, la carte d’identité à puces comporte la photo, la biométrie de son usager, qui est dotée d’une clé privée que seul le citoyen connaît. La puce permet de signer numériquement des documents, avec un NIP pour protéger les informations.

José Fernandez juge que le Canada doit ni plus ni moins envisager un changement de paradigme de société en matière de gestion des données personnelles. Selon ce chercheur, c’est le recours même au NAS comme identifiant unique qu’il faut repenser, davantage qu’une remise des compteurs à zéro pour les citoyens touchés par une brèche de sécurité. De plus, il faudrait selon lui s’inspirer de pays comme la France, la Belgique, l’Espagne, la Malaisie ou les Philippines, qui ont développé des systèmes de cartes d’identité uniques qui contiennent la somme des informations de leurs détenteurs.

« En Europe, la carte d’identité à puces comporte la photo, la biométrie de son usager, qui est dotée d’une clé privée que seul le citoyen connaît. La puce permet de signer numériquement des documents, avec un NIP pour protéger les informations », illustre M. Fernandez, qui cite l’exemple de l’Estonie, où la carte d’identité peut tout autant servir à faire l’acquisition d’une voiture qu’à transmettre sa déclaration d’impôts.

En d'autres termes, l’idée est de revoir la fonction même du numéro d’assurance sociale, souligne José Fernandez. « En Europe, l’équivalent du NAS est un numéro d’identité qui est protégé par une clé d’identification publique et privée. »

Le NAS à tout vent

Au bureau du ministre responsable de Service Canada, Jean-Yves Duclos, on publiait lundi la déclaration suivante, à propos de la question du NAS :

« Nous comprenons les préoccupations et les inquiétudes des personnes touchées. Le gouvernement du Canada est déterminé à protéger les numéros d’assurance sociale (NAS) contre la fraude et l’usage inapproprié, ainsi qu’à protéger la vie privée des Canadiens. Nous estimons que toute atteinte à la sécurité touchant les renseignements relatifs aux numéros d’assurance sociale est très grave. Notre gouvernement est en communication avec l’Autorité des marchés financiers (AMF) afin d’offrir tout le soutien nécessaire dans ce dossier. »

Sur le portail de Service Canada, on incite ces jours-ci les citoyens à faire preuve de prudence dans la divulgation de leur numéro d’assurance sociale, invitant notamment la population à ne divulguer le NAS que s’il est légalement requis et à conserver tout document comportement ce numéro en lieu sûr (mais pas sur soi).

Légalement parlant, les institutions financières peuvent demander le NAS d’un client dans le cas où des intérêts ou un revenu sont versés à celui-ci. En revanche, nul n’est tenu de donner son numéro d’assurance sociale pour une demande de carte de crédit ou pour contracter un prêt bancaire ou hypothécaire.

Pistes de solution

Lundi après-midi, les commissaires à la protection de la vie privée du Québec et du fédéral annonçaient l’ouverture d’une enquête sur le vol massif de données personnelles chez Desjardins.


« Les enquêtes permettront de déterminer si l’organisation a respecté la Loi sur la protection des renseignements personnels dans le secteur privé en vigueur au Québec et la Loi sur la protection des renseignements personnels et les documents électroniques, la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada », indiquait le communiqué de presse relatif à cette enquête.

Invité par Le Devoir à commenter la question du numéro d’assurance sociale, le Commissariat à la vie privée du Canada a décliné notre demande d’entrevue, nous invitant à consulter la page de Service Canada destinée aux personnes qui soupçonnent que leur NAS a été utilisé frauduleusement. Le chef du Parti conservateur du Canada, Andrew Scheer, a quant à lui demandé la tenue d’une réunion d’urgence du comité de la Sécurité publique et nationale dès cette semaine, sur le vol de données personnelles au Mouvement Desjardins, demandant une rencontre avec ses députés pour envisager des pistes de solution pour prévenir le vol des données personnelles, comme l’émission d’un nouveau numéro d’assurance sociale.

Sur la pertinence de la pétition demandant un remplacement des NAS, José Fernandez juge que ce n’est probablement pas la meilleure approche pour régler le problème. « C’est l’équivalent de changer de nom, pour éviter le vol d’identité. »



À voir en vidéo