Oups! Nous avons perdu vos renseignements personnels

La faille informatique Heartbleed qui vient de mettre l'Agence du revenu du Canada (ARC) sens dessus dessous prouve à quel point nos données confidentielles sont vulnérables sur l'internet.

Au plus fort de la saison des impôts, le fisc a dû fermer son site web pour réduire les risques de piratage, alors que l'on apprenait que les données de 900 contribuables ont été dérobées. La semaine dernière, la Gendarmerie royale du Canada (GRC) a d'ailleurs accusé un étudiant de ce vol.

Cette attaque contre le fisc a fait grand bruit, car le bogue Heartbleed a fait des ravages dans le monde entier. La faille, qui existe depuis deux ans, permettait à des gens non autorisés d'accéder à des informations confidentielles censées être protégées par le logiciel OpenSSL, utilisé par de nombreuses entreprises.

Cisco Systems, Hewlett-Packard, IBM, Intel, Oracle comptent parmi les multinationales qui ont averti leurs clients qu'ils pouvaient être vulnérables à une attaque. Certains experts ont même affirmé qu'il s'agissait de la plus grave défaillance informatique de l'histoire.

La plus grave, peut-être. Mais pas la seule! Heartbleed n'est que la pointe de l'iceberg.

"*

Les fuites d'information se comptent par milliers, a déjà avoué Ottawa. En fait, le gouvernement fédéral a connu 3134 accidents qui ont mis en danger la vie privée de 1,1 million de Canadiens au cours de la dernière décennie. Ça fait peur!

Les entreprises privées ne font pas meilleure figure. En moyenne, chacune enregistre 18 atteintes à la vie privée par année, selon une étude réalisée par Telus et l'École de gestion Rotman de l'Université de Toronto.

Mais dans la très grande majorité des cas, ces accidents ne sont jamais divulgués. Au Canada, les organisations ne sont pas obligées d'informer leurs clients d'une atteinte à leur vie privée, sauf en Alberta.

Bon an, mal an, il n'y a qu'une poignée de zélées qui font une déclaration volontaire au Commissariat à la protection de la vie privée du Canada.

Pendant ce temps, les victimes ne sont jamais informées du danger. Elles ne peuvent donc pas se protéger contre le vol d'identité et la fraude financière en prenant quelques mesures simples. Des exemples?

- Changer les mots de passe en utilisant une combinaison assez compliquée (lettres et chiffres, majuscules et minuscules).

- Placer une alerte dans le dossier de crédit chez Équifax et TransUnion.

- Vérifier régulièrement les comptes en ligne pour s'assurer qu'il n'y a pas de transactions douteuses.

"*

Heureusement, les règles vont changer. Ironiquement, Ottawa a déposé le projet de loi S-4, au moment même où Heartbleed sévissait à l'Agence du revenu.

En vertu de la future loi sur la protection des renseignements numériques, les organismes seront obligés d'aviser les personnes touchées par la perte ou le vol de renseignements personnels, comme c'est déjà le cas dans de nombreux pays et États américains.

Les Canadiens devront s'habituer à recevoir une lettre leur disant: Oups! Nous avons compromis vos renseignements personnels.

Les organismes fautifs devront aussi aviser le Commissariat, faute de quoi ils s'exposeront à des amendes allant jusqu'à 100 000$. En plus, les organismes devront tenir un registre de toutes les atteintes et le fournir au Commissariat sur demande.

Tout cela réjouit le commissaire, qui réclame des pouvoirs accrus depuis longtemps.

«Mais c'est une loi très minimaliste. Une loi Mickey Mouse, car les sanctions ne sont pas au rendez-vous», dit Me Vincent Gautrais, professeur titulaire de la Chaire de l'Université de Montréal en droit de la sécurité et des affaires électroniques.

Il n'y a aucune sanction de prévue pour les entreprises qui laissent filer les données de leurs clients, aucune indemnité de prévue pour les victimes qui doivent réclamer des dommages et intérêts à la Cour fédérale, une démarche laborieuse qui rapporte rarement des sommes pharaoniques.

Pour inciter les entreprises à être plus vigilantes, devrait-on publier une liste des entreprises les plus négligentes?

Cela se fait en Californie, signale Me Gautrais. Chez nous, le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) diffuse le nom des entreprises de télémarketing qui embêtent les consommateurs, malgré les règles de la Liste nationale de numéros de télécommunication exclus.

Devrait-on carrément imposer des sanctions? C'est ce que l'Europe veut faire, répond Me Gautrais. Les entreprises pourraient avoir à verser des centaines de millions en cas d'atteinte à la vie privée de leurs clients, même s'ils n'ont pas subi de dommage.

Les États-Unis ont choisi une autre voie. Google et Facebook devront procéder à un audit de la sécurité de la vie privée de leurs clients pour les 20 prochaines années, à l'issue d'une négociation avec la Federal Trade Commission.

Mine de rien, cette approche peut être aussi coûteuse qu'une sanction. À preuve, la loi Sarbanes-Oxley adoptée après le scandale Enron a coûté des dizaines de milliards aux entreprises qui ont dû se conformer aux nouvelles règles comptables, rappelle Me Gautrais.

Il faut y aller avec mesure si on ne veut pas brimer inutilement le potentiel de croissance de l'industrie numérique. «Limiter la vitesse à 70 km/h sur l'autoroute réduirait certainement le nombre d'accidents, compare Me Gautrais. Mais à quel coût?»

En attendant qu'on trouve la meilleure formule pour assurer une saine gouvernance de la sécurité informatique, la divulgation obligatoire reste un pas dans la bonne direction.




Les plus populaires

Tous les plus populaires
sur lapresse.ca
»

la boite:2525685:box

Autres contenus populaires

la boite:219:box
image title
Fermer