Fuite de données chez Desjardins : quand l’on veut faire compliqué, et mal le faire

Avec le dépôt cette semaine du rapport de la commission parlementaire sur la fuite de renseignements personnels chez Desjardins, le consommateur québécois a pour le moins raison de s’inquiéter.

Entre M. Guy Cormier qui fait de la gestion de crise un art, mais qui ne se positionne surtout pas sur le renouvellement des méthodes d’identification concernant l’accès au crédit et, d’autre part, MM. Legault et Trudeau qui ne semblent pas, pour des raisons obscures, préconiser l’application urgente d’une solution à la crise, on ne peut que comprendre les craintes plus que légitimes de la population quant à la bonne garde de ses renseignements confidentiels.

Une campagne électorale plus tard, où M. Trudeau n’a pas daigné prendre acte de l’inquiétude de la population hormis nous expliquer que de modifier la gestion des numéros d’assurance sociale n’était pas possible, le gouvernement Legault ne fait guère mieux depuis le début de cette crise. La tenue d’une commission mal ficelée ne pouvait faire autrement que de générer le rapport vide qui s’en est suivi.

En effet, nous avons eu droit à une bien trop courte brochette d’organismes invités qui se composait de Desjardins au banc des accusés, de l’AMF venant expliquer son rôle de contrôleur des institutions financières, d’un non-interlocuteur en l’Association des banquiers canadiens nous expliquant que Desjardins ne fait pas partie de son association, d’une fin de non-recevoir de l’Office de la protection du consommateur soulignant que ce genre de problématique ne fait pas partie de son mandat et finalement d’Equifax qui, par téléconférence, évitait une question sur deux, et nous a servi un discours de vente des plus corporatistes. Bref, on aura vu mieux.

Mais il y a pire.

Alors que l’on cherche des solutions à la plus grande fuite de données issue d’une institution financière au Canada, on aura réussi à n’inviter qu’UN seul et unique expert en sécurité de l’information lors de cette commission, en l’occurrence le fort compétent José Fernandez, professeur titulaire au département de génie informatique et génie logiciel de Polytechnique Montréal. Un seul réel expert, 45 petites minutes de présence, afin de discuter d’un enjeu de société capital qui touche 4,2 millions de personnes en situation potentielle de vol d’identité immédiate, et près de 8 millions de Québécois à risque.

Une seule personne, alors c’est toute une communauté d’experts québécois en sécurité de l’information qui prédit depuis des années que nous ferons tôt ou tard face à une telle catastrophe numérique. Mais qu’est-ce que l’on ne comprend pas au gouvernement ?

On gère le tout comme une crise politique et on ne comprend simplement pas que Desjardins n’apportera pas la solution au problème.

Pourquoi ? Parce que, même en améliorant les pratiques défaillantes qui ont mené à cette fuite de données, Desjardins ne pourra jamais à elle seule assurer que la chose ne se reproduira pas dans le futur. Concrètement, le risque zéro n’existe pas. Oui, on améliorera les pratiques, c’est nécessaire, on en convient. Cependant, le problème de fond réside beaucoup plus dans la trop grande facilité de monnayer des données subtilisées que dans la fuite de données elle-même, en raison d’outils et de processus d’identifications obsolètes utilisés dans les processus de demandes de crédit actuels.

Le citoyen a pleinement le droit de demander une résolution urgente à un problème de vol d’identité potentiel, sur lequel il n’a pas de réel contrôle. Les victimes sont en colère, elles ont raison de l’être, et l’inaction actuelle des gouvernements est tout simplement inexcusable.

Pourquoi inexcusable ? Parce que les solutions technologiques existent déjà depuis un certain temps afin d’éviter les vols d’identité. Elles sont en place ailleurs dans le monde où certains pays ont mise en place ce que l’on nomme « l’identité numérique ».

Tel que le confirmait avec justesse José Fernandez en commission parlementaire, le fonctionnement d’un tel système est plutôt simple : dans les pays où cette technologie est en place, un citoyen doit s’identifier à l’aide d’une carte à puce d’identité numérique nationale, avec photo, similaire à une carte de crédit, à laquelle le citoyen associe un NIP.

En utilisant la carte en usant d’un terminal, on confirme ainsi notre identité, que ce soit pour une demande de crédit ou un autre type de service. Pas de carte en main, pas de service. Ni plus ni moins.

Dans un tel contexte, même si de l’information confidentielle se retrouve dans les mains d’une partie malveillante, elle ne peut pas servir à voler l’identité, car aucune demande n’est possible sans cette carte d’identité numérique sur soi.

Il serait fort à propos, et ce, rapidement, que le gouvernement Legault écoute les experts, comprenne que la solution est à portée de main, mais plus encore, qu’il réalise qu’une solution exclusivement québécoise au problème tient de la pensée magique et qu’il est maintenant temps de passer un coup de fil à Ottawa.

Il s’agit ici d’un enjeu national et non provincial, et il est temps de passer de l’amateurisme aux choses sérieuses.

Qu'en pensez-vous? Exprimez votre opinion