Photo AFP

Revoir la gestion des données personnelles

CHRONIQUE / Après Desjardins, c’est au tour de Capital One d’être victime d’une fuite massive de données. Encore une fois, la source de la fuite ne provient non pas d’un piratage informatique conventionnel, mais bien d’une source à l’interne, cette fois-ci une ex-employée du service qui héberge les données de Capital One. Un code d’éthique ne serait-il pas nécessaire pour les entreprises qui manipulent des données personnelles ?

Il est totalement irresponsable que des informations d’une telle envergure puissent être entièrement être accessibles aussi aisément par une seule et unique personne. Les données de Capital One ont été dérobées par Paige A. Thompson, une ancienne employée d’AWS, le service infonuagique d’Amazon chargé de l’hébergement de serveurs. N’étant plus à l’emploi d’AWS, Mme Thompson a utilisé une faille non colmatée dans un mur pare-feu (firewall) afin d’extraire des données sur les serveurs de Capital One.

Or, les mesures de sécurité utilisées par Capital One n’étaient définitivement pas au goût du jour, certes, mais comment se fait-il qu’une ancienne employée d’un sous-traitant puisse avoir si facilement accès aux données ?

Même si Amazon se déleste de toute forme de responsabilité, jetant entièrement le blâme sur Capital One et son mur pare-feu déficient, il est quand même troublant de voir que les employés du service infonuagique ont accès aux configurations de ce type.

D’autant plus que la majorité des grandes entreprises, gouvernements et institutions financières, se tournent désormais vers les services d’hébergement en nuage pour des raisons économiques, mais aussi pour des motifs de sécurité, qui sont apparemment de moins en moins crédibles. Les fournisseurs de services d’hébergements ont leur part de responsabilités dans la manière dont ils exposent les employés aux données clients.

Tandis que plusieurs proposent divers procédés d’identification biométrique pour les utilisateurs lambda, bien peu se soucient de l’éthique ou de qui a accès à cette masse d’informations sensibles. Selon moi, l’ensemble du modèle de gestion est à revoir à partir des méthodes de stockage des données. Je sais que la fragmentation des données personnelles à travers différents serveurs répartis physiquement sur différents sites est contraire à la norme actuelle, où la latence est l’ennemi à abattre, mais ne serait-il pas logique que certaines informations personnelles soient stockées par des services spécialisés de cryptage gouvernemental, compliquant ainsi la tâche des voleurs d’identités ?

Même si cette identité numérique est l’affaire du gouvernement fédéral, avec le fiasco du système de paie Phénix (comparaison douteuse, je sais !), il est inconcevable qu’un projet de cette envergure voie le jour avec les méthodes actuelles de gestion informatique gouvernementale.

Que faire du numéro d’assurance sociale ?

Même si le gouvernement remplace le traditionnel numéro d’assurance social par de l’identification numérique ou biométrique, le temps nécessaire pour le déploiement de cette fastidieuse solution est si long qu’au moment où elle sera fonctionnelle, des méthodes de contournement seront déjà disponibles. Il y a tout de même matière à réflexion par rapport à la manière dont notre identité se situe dans le big data, car nous en sommes désormais à un chevauchement entre le réel et le virtuel.

La clé réside dans la manière dont le réel corrobore le virtuel, et l’ADN est probablement la méthode la plus fiable, d’autant plus que, dans un avenir pas si lointain, nous pourrons utiliser l’ADN pour stocker de l’information numérique. Mais actuellement, quelle est la manière la plus simple, fiable et rapide de lier notre identité numérique à notre identité physique ? Le téléphone intelligent semble être la méthode préconisée pour panser l’hémorragie, mais ce n’est pas encore la solution parfaite, loin de là, elle peut par contre se déployer rapidement à faible coût. Mais encore là, ce n’est pas une méthode totalement infaillible, car nous avons vu dernièrement des voleurs d’identité détourner des comptes téléphoniques afin de déjouer l’authentification sécurisée qui demande une confirmation par texto.

Par contre, les nouveaux modèles de téléphones offrent des méthodes de déverrouillage biométrique, permettant ainsi une authentification par la reconnaissance faciale ou digitale, qui peuvent aussi être utilisées pour certifier une identité. Encore là, ce ne sont pas des solutions totalement infaillibles, mais elles sont amplement robustes pour en décourager plus d’un !

Qui est le coupable ?

Dans le cas de Desjardins et de Capital One, les institutions financières sont doublement responsables du problème, c’est-à-dire qu’elles sont responsables des fuites de données, certes, mais elles mordent également à l’hameçon des voleurs en consentant du financement, souvent par cartes de crédit, via les identités usurpées.

Il est ahurissant de voir à quel point les fraudeurs peuvent obtenir rapidement et surtout facilement des cartes de crédit qu’ils s’empressent d’ailleurs de remplir à la vitesse de l’éclair. S’abonner à un service de surveillance de crédit devrait être essentiel, au même titre qu’une assurance vie, car dans le fond, votre identité, c’est aussi votre vie.