lundi 25 février 2008

Le grand défi technologique d'un cyberespace sûr

L'Académie Nationale d'Ingénierie des États Unis vient de rendre public un rapport d'experts qui identifie 14 défis technologiques pour le 21ème siècle, parmi lesquels figure la nécessité d'accroître la sécurité du cyberespace, aux côtés du besoin de fournir un accès généralisé à l'eau potable ou de comprendre l'architecture et le fonctionnement du cerveau humain.

Selon les experts consultés, on retrouve parmi les éléments qui contribueront à un Internet plus sûr la conception de logiciels moins vulnérables, ainsi que l'amélioration de l'intégrité des flux de données qui transitent sur le réseau des réseaux. Le rapport préconise une meilleure prise en compte de la psychologie des usagers, qui préfèrent souvent la facilité d'usage à une sécurité pesante à mettre en oeuvre. Les facteurs sociaux et culturels influençant les relations qu'entretiennent les usagers avec leurs machines -- et les risques qui en découlent -- devraient également faire l'objet de recherches plus poussées, au même titre que les motivations et les méthodes des délinquants technologiques. Il est enfin recommandé de se pencher sur les stratégies de régulation à la disposition des États et des entreprises.

Si le détail des pistes proposées nous laisse sur notre faim par son manque d'originalité, la présence de cette problématique dans une liste de problèmes technologiques que l'humanité devra résoudre dans des délais rapprochés nous rappelle à quel point il est dorénavant indispensable de concevoir la sécurité comme relevant d'une double réalité: la sécurité du monde physique et celle des mondes virtuels, dont le couplage est de plus en plus serré, et dont on a encore du mal à comprendre les interdépendances.

dimanche 17 février 2008

Vol de données personnelles chez Bell

Si vous habitez au Québec ou en Ontario, et que la nouvelle du vol de données personnelles concernant 3,5 millions de clients de la société de télécommunication Bell vous a échappée, ce n'est pas très surprenant. En effet, les médias canadiens ont été plutôt circonspects sur cet événement qui me semble loin d'être anodin.

Cet incident majeur a été rendu public par Bell le 12 février dernier. L'entreprise annonçait dans un communiqué de presse le vol de fichiers informatiques par un suspect arrêté quelques heures auparavant par la police de Montréal. Le communiqué de presse minimisait considérablement la portée de l'incident en insistant sur le fait que les données concernées ne contenaient pas de renseignements bancaires, et que l'ensemble des données avaient été récupérées. Les médias semblent avoir accepté cette version de manière assez peu critique. Prenez par exemple La Presse Affaires, qui a titré: "Bell récupère les données volées de 3,4 millions de clients", plutôt que de mettre de l'avant le vol qui avait précédé l'arrestation du suspect.

Il y aurait pourtant un peu plus à dire sur cette affaire que la version soigneusement édulcorée relayée par la presse:
  • Comment un tel vol a-t-il été rendu possible, et quel stratagème a été employé par le suspect? S'agissait-il par exemple d'un exploit technique ou bénéficiait-il au contraire de complicités internes?
  • Si Bell, qui dispose des systèmes et des procédures de sécurité informatique les plus perfectionnés au Canada n'est pas à l'abri d'un vol aussi massif de données, qu'est ce que cela nous dit sur la protection dont bénéficient les informations personnelles que conservent de plus petites entreprises ne disposant pas de budgets et de compétences informatiques aussi importants?
  • Les données qui ont été récupérées étant numériques, et donc duplicables à l'infini, rien ne permet d'affirmer qu'elles n'ont pas été copiées et diffusées par le suspect, du moins tant qu'une expertise complète de son matériel informatique n'aura pas été réalisée. Il semble donc un peu tôt pour écarter toute possibilité de fraude future.
  • Même si les données volées ne permettent pas en tant que telles de commettre des fraudes financières, elles pourraient être utilisées par des fraudeurs pour mieux cibler leurs victimes. Ces derniers pourraient par exemple se faire passer pour des employés de Bell et sous prétexte de revoir leurs services obtenir des informations beaucoup plus sensibles. Le risque ne réside donc pas dans les données volées, mais dans la capacité que ces dernières offrent à des fraudeurs potentiels d'établir une relation de confiance avec leurs victimes.
Il n'y a finalement que la Commissaire à la protection de la vie privée du Canada qui ait demandé à Bell de fournir des explications plus détaillées, notamment sur les raisons du délai de plusieurs semaines qui s'est écoulé entre la découverte par Bell du vol et sa révélation au public.