•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Vol de données : « Le problème, ce n’est pas les banques, c’est la société »

Un homme marche près d'un édifice de Capital One à McLean, en Virginie.

Capital One a indiqué qu'un pirate informatique avait eu accès aux informations personnelles de plusieurs millions de clients.

Photo : Reuters / Jim Young

Karl-Philip Vallée

Le piratage de Capital One révélé cette semaine, celui d’Equifax en 2017 et le récent vol de données chez Desjardins sont les symptômes d’un problème plus profond qui risque de se répéter si les gouvernements n’adoptent pas rapidement l’identité numérique, selon un expert.

En entrevue à Radio-Canada pour analyser le piratage de Capital One, José Fernandez, professeur au Département de génie informatique et de génie logiciel à Polytechnique Montréal, remet rapidement les pendules à l’heure.

« On peut se demander si les banques font un bon travail, affirme M. Fernandez. La réponse est qu’elles font un travail acceptable, bien au-delà de la moyenne. Elles sont parmi les meilleures de classe. »

Selon cet expert, les personnes montrant les institutions financières du doigt font en bonne partie fausse route.

« Le problème, ce n’est pas les banques, c’est la société dans laquelle on vit, c’est le gouvernement, c’est le numéro d’assurance sociale, poursuit-il. Tant qu’on va continuer à utiliser des informations personnelles pour authentifier les gens, il y aura un incitatif pour les criminels d’aller voler ces informations. »

Un problème d’authentification

José Fernandez déplore le fait que le gouvernement et les entreprises privées considèrent le numéro d’assurance sociale, la date de naissance et le nom de jeune fille de la mère comme des informations secrètes que personne d’autre que leur détenteur ne devrait connaître.

« Les entreprises prennent ça pour du cash, mais une grande partie de ces informations sont publiques, souligne M. Fernandez. Pour une grande partie de la population, le nom de jeune fille de la mère est facile à trouver. Même chose pour la date de naissance. Même votre numéro d’assurance sociale ne devrait pas être considéré comme un numéro secret, parce que si vous changez régulièrement d’employeur, de nombreuses entreprises l’ont en main. »

José Fernandez devant un micro dans un studio de radio.

José Fernandez

Photo : Radio-Canada / Olivier Lalande

« On utilise tous des noms d’utilisateur et des mots de passe pour se connecter à des services en ligne, explique cet expert en cybersécurité. Imaginez si on nous demandait notre numéro d’assurance sociale à la place. On ne serait pas contents. Alors pourquoi le donne-t-on à des centres d’appels? »

S’inspirer de l’Estonie

Selon José Fernandez, le Canada aurait avantage à se tourner vers des systèmes d’identité numérique comme ceux existant en Belgique, en Espagne ou en Tunisie.

L’Estonie, qui fait figure de chef de file dans ce domaine, serait un autre bon exemple à suivre. Chaque citoyen et citoyenne de ce pays balte possède en effet une carte à puce protégée par un numéro d’identification personnel. La majorité des dossiers publics et une bonne partie des dossiers conservés par les entreprises privées étant informatisés, les Estoniens et Estoniennes n’ont pas à fournir le nom de jeune fille de leur mère ou leur numéro d’assurance sociale pour certifier leur identité.

« En Estonie, si je veux vous vendre ma vieille voiture à 500 $, pas besoin d’aller à l’équivalent de la Société d’assurance automobile. Je tape ma carte pour m’identifier en tant que vendeur, puis vous tapez votre carte en tant qu’acheteur et la transaction est officialisée. »

La population estonienne peut même faire sa déclaration de revenus et voter en ligne grâce à ce système.

Un pourcentage minime de victimes de vol d’identité

Dans le cas des vols à Capital One et chez Desjardins, José Fernandez croit que la véritable menace ne se trouve pas du côté des institutions financières, mais plutôt auprès d’autres entreprises se servant des informations personnelles pour identifier un interlocuteur ou une interlocutrice.

« Ce n’est pas parce qu’on accède aux données de Capital One ou de Desjardins qu’on peut vider le compte de quelqu’un. Ce n’est pas ça, la conséquence. Ces informations-là ont une valeur ailleurs. Ça ne va même pas permettre à quelqu’un d’ouvrir un autre compte à mon nom chez Desjardins, mais ça va lui permettre d’ouvrir un compte Vidéotron, Best Buy et d'Hydro-Québec. »

C’est en utilisant ces moyens détournés qu’un fraudeur ou une fraudeuse réussira à puiser dans les économies de ses victimes.

Même s’il reconnaît qu’il faut demeurer sur ses gardes, M. Fernandez précise toutefois que seul un petit pourcentage des personnes touchées par les vols de données personnelles finit par voir son identité utilisée frauduleusement, en raison de la complexité de ce genre d’opération.

Quoi faire si vous faites partie des victimes?

  • Surveillez les transactions inscrites à votre compte bancaire et à votre carte de crédit.

  • Si vous détectez une transaction suspecte, signalez-la à votre institution financière, au service de police et au Centre antifraude du Canada (Nouvelle fenêtre).

  • Méfiez-vous des courriels, messages texte et appels téléphoniques semblant provenir de votre banque ou d’une autre entreprise avec laquelle vous faites affaire. Ne fournissez jamais d’information personnelle à quelqu’un vous contactant ainsi et ne cliquez jamais sur les hyperliens contenus dans les messages. Ne cédez pas au sentiment d’urgence suscité par ces messages.

Avec les informations de CBC News

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !

Cybersécurité

Techno