•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Protection de données : l'Estonie pourrait inspirer le Canada

Une carte du numéro d'assurance sociale dans un porte-feuille.

Plusieurs numéros d'assurance sociale ont été dérobés lors d'un vol de données personnelles à Desjardins.

Photo : Radio-Canada / Ivanoh Demers

Jean-Philippe Guilbault

Dans les données volées à Desjardins en juin figurent les numéros d’assurance sociale de ses membres : principale porte d’entrée pour le vol d'identité. Certains réclament son abolition et le Canada pourrait alors se tourner vers l’Estonie ou l’Inde pour d'autres solutions.

Les numéros d’assurance sociale (NAS) ont été créés en 1964 par la Commission de l’assurance-chômage d'après des recommandations de la Commission royale d’enquête sur l’organisation du gouvernement et la naissance du Régime de pensions du Canada (RPC).

L’objectif des NAS était alors d’identifier les personnes âgées de 18 ans et plus cotisant au RPC, mais ces numéros sont rapidement devenus omniprésents dans la vie des Canadiens, notamment comme outils d’identification auprès des services gouvernementaux.

Mais le NAS n’est qu’une simple combinaison de neuf chiffres facilement reproductible, déplore Sylvain Paquette, président du Bureau canadien du crédit (BUCC).

Ça peut se fabriquer si on a l’algorithme qui est facilement trouvable sur Internet, indique M. Paquette. Les fraudeurs peuvent s’en fabriquer pour donner vie à de fausses identités.

Le NAS suit donc les résidents canadiens toute leur vie et demeure actif un an après la mort, explique M. Paquette.

Mais les fraudeurs, eux, croient en la vie après la mort! Ils vont prendre les dossiers de crédit de personnes décédées, puis ils vont les maintenir en vie, ils vont rajouter du crédit pour ensuite commettre des méfaits, explique-t-il.

Données biométriques ou cartes cryptées

Ainsi, si plusieurs réclament le remplacement des NAS dérobés à Desjardins, M. Paquette est plutôt d’avis que le Canada devrait carrément abandonner cette manière d’identifier les gens pour se doter d’une solution plus « fiable ».

Il serait temps de passer au 21e siècle, d’aller vers quelque chose de plus fiable [...] en ayant une carte d’identité avec des données biométriques ou des données d’authentification numérique dedans, suggère-t-il.

Dans un cas comme dans l’autre, le Canada pourrait alors se tourner vers l’international pour des exemples.

Depuis 1997, l’Estonie est un laboratoire pour la « citoyenneté numérique », et depuis 2002, une carte d’identité cryptée avec un protocole de chiffrement 2048-bit est devenue obligatoire pour tous les habitants du pays. La carte est accompagnée de trois codes NIP pour bien identifier l’utilisateur.

Avec cette carte – et un lecteur qui doit être branché à un ordinateur – les Estoniens peuvent approuver des documents officiels, remplir leur déclaration de revenus, obtenir une prescription médicale et, depuis 2005, voter en ligne.

Une femme estonienne est assise derrière son ordinateur.

Les Estoniens peuvent voter en ligne à l'aide de leur carte d'identité numérique.

Photo : Getty Images / Raigo Pajula

Une application mobile, Smart-ID, est même disponible pour les Estoniens qui préféreraient utiliser leur téléphone intelligent plutôt que leur carte à puce.

Et ils sont nombreux à l’utiliser : 2,2 millions de personnes utilisent Smart-ID pour un total de près de 37 millions de transactions par le biais de l’application en juin 2019.

Depuis novembre 2018, l’application est également reconnue au même titre qu’une signature légale partout au sein de l’Union européenne.

Le Canada envisageait d'ailleurs d'adopter un système similaire dès l'année 2001, a expliqué à RDI Économie José Fernandez, professeur au Département de génie informatique et de génie logiciel à Polytechnique Montréal.

Pour des raisons de fonctionnaires et des difficultés légales, cela n'a pas été fait, alors que ça aurait pu être réglé. Et depuis 18 ans il ne s'est rien passé, explique-t-il.

Le professeur rappelle que dans l'un de ses rapports, le Conseil canadien sur l'identité et l'authentification numérique expliquait que « des milliards de dollars en termes de productivité » étaient gaspillés en n'explorant pas les avenues de l'authentification en ligne.

L'Estonie se targue d'ailleurs d'économiser l'équivalent de 2 % de son PIB en ayant amélioré l'efficacité de sa bureaucratie avec son système.

Or, celui-ci n’est pas sans failles. En 2017, une équipe internationale de chercheurs a alerté les autorités de Tallinn au sujet d’une faille de sécurité au sein des cartes d’identité à puce émises par le gouvernement depuis octobre 2014.

Un total de 800 000 cartes étaient touchées par cette faille. Le gouvernement estonien a donc dû changer le protocole des cartes, la mise à jour devait être réalisée par les citoyens et 94 % des cartes ont été renouvelées.

La confiance des Estoniens n’a pas été ébranlée pour autant : en pleine crise de sécurité, le taux de vote en ligne en utilisant les cartes d’identité a atteint un record à l’époque de 31,7 %.

Des failles plus risquées que d'autres

L'Inde a implanté le controversé système Aadhaar qui combine un numéro d’identité personnelle aux données biométriques des citoyens (empreintes digitales, photographies de l’iris).

S’il est annoncé comme optionnel pour les Indiens, près d'un milliard de citoyens l'ont adopté. Aadhaar leur permet de remplir leur déclaration de revenus, d’ouvrir un compte bancaire ou de s’enregistrer pour les élections. Ces citoyens ont donc confié à l’État leurs données biométriques dans le cadre de ce programme dénoncé par plusieurs organisations de défense de la vie privée.

Une femme indienne numérise par balayage elle-même ses yeux à l'aide d'un appareil.

Les Indiens doivent fournir un scan de leur iris pour le système d'identification Aadhaar.

Photo : Reuters / Mansi Thapliyal

En avril 2018, dans une lettre ouverte à la BBC, Mishi Choudhary, avocate indienne spécialisée en nouvelles technologies et directrice juridique du Software Freedom Law Center, dénonçait vertement le système Aadhaar.

Si Aadhaar est une plateforme technologique si merveilleuse, pourquoi les pays les plus avancés technologiquement ne se bousculent-ils pas pour l’adopter ou développer des systèmes similaires pour leurs propres citoyens?, lance-t-elle d’emblée.

Des bases de données centralisées contrôlées par le gouvernement contenant les données biométriques créent de hauts risques sociaux, estime-t-elle. Toute faille dans ces bases de données est essentiellement irréversible : personne ne peut changer ses données génétiques ou ses empreintes digitales après une fuite [de données].

Le système a connu sa première faille majeure en janvier 2018, un média indien rapportait que certaines données de citoyens avaient été vendues sur le marché noir pour 500 roupies (9,5 dollars canadiens). Selon les autorités indiennes, les données biométriques n'ont pas été touchées par cette faille.

Une personne pose son index sur un terminal de transaction pour confirmer son identité.

Les Indiens peuvent utiliser le système Aadhaar pour effectuer plusieurs types de transactions.

Photo : Getty Images / Noah Seelam

Pour l’avocate Mishi Choudhary, un système de vérification décentralisé et avec plusieurs manières de prouver son identité demeure préférable, puisqu’il est moins à risque de faille de sécurité.

Il y a des risques partout. Le propre d’un fraudeur c’est de trouver la faille dans un système et de l’exploiter, croit pour sa part Sylvain Paquette.

Selon le directeur du BUCC, les autorités canadiennes devront faire preuve de patience et peut-être collaborer avec des fraudeurs pour développer une solution optimale.

C’est un peu drôle à dire, mais il faudrait avoir des fraudeurs qui viennent nous conseiller là-dedans pour savoir si le système est infaillible ou non, laisse-t-il tomber.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Cybersécurité

Justice et faits divers