Les vraies menaces – Entretien avec Steve Waterhouse, expert en cybersécurité
La cybercriminalité est en hausse, mais les consommateurs ne sont pas entièrement démunis, explique Steve Waterhouse, PDG d’INFOSECSW. Ce spécialiste de la formation en cybersécurité répond aux questions de Magazine OC sur les derniers développements en matière de cybersécurité et sur ce que le Canada fait pour lutter contre la cybercriminalité.
Quelle est la plus grande menace pour les consommateurs actuellement ?
Je dirais les logiciels de rançon, [NDLA : appelés aussi rançongiciels], qui sont conçus pour extorquer des données à des entreprises en menaçant de publier ou de bloquer ces données moyennant une rançon. Ces logiciels sont de plus en plus utilisés pour voler les données des PME. De manière générale, la fraude en ligne augmente. Au Québec, l’affaire Desjardins [NDLA : le vol des données personnelles de 4,2 millions de clients] a vraiment sonné l’alarme. Les consommateurs savent qu’ils n’ont aucun contrôle sur ce type de fraude. Les gens commencent à faire le décompte de leurs informations personnelles qui sont en circulation, et ils sont sidérés devant tout ce qu’ils ont fourni sans poser de questions ni se protéger.
Que peuvent faire les consommateurs pour se protéger, justement ?
Ils devraient commencer par revoir la façon dont ils utilisent la technologie. Déjà, en étant conscient de la manière dont on communique en ligne et avec quelles applis, on peut réduire la quantité de renseignements personnels transmis aux grandes entreprises comme Facebook. Le premier geste consiste à prendre l’habitude d’utiliser un moteur de recherche anonyme, comme duckduckgo.com. Vous obtiendrez les mêmes réponses qu’avec Google, mais sans fournir d’informations personnelles. Je recommande Startpage.com, un moteur de recherche néerlandais, qui supprime les informations personnelles de votre question avant de la soumettre à Google. Avec Startpage, Google ne sait rien de vous et il fournit une réponse neutre qui correspond en fait aux critères d’une bonne recherche. Pour communiquer, les gens devraient éviter WhatsApp ou Messenger. Ces deux applis, qui font partie de Facebook, sont les plus gourmandes dans la cueillette de renseignements personnels. D’autres applis, comme Signal, sont davantage orientées vers la protection de la vie privée. Contrairement à Messenger, un message envoyé par Signal est crypté et il n’est pas lié à votre identité. Je n’utilise jamais Facebook sur mon téléphone ou ma tablette parce que je lui donnerais accès à toutes sortes d’informations sur le lieu ou le moment où j’ai recours au service. Lorsque vous utilisez FaceTime sur un ordinateur, il ne recueille pas autant de renseignements sur vos activités. En général, les applications de rencontres recueillent plus de renseignements personnels si vous les utilisez sur une tablette ou un téléphone que sur un ordinateur.
Il s’agit donc de modifier ses habitudes ?
Oui. L’utilisation des courriels est un autre exemple. Le courrier électronique n’est ni protégé ni crypté. Si vous échangez des informations confidentielles, vous devriez utiliser des applis de messagerie comme iMessage ou Signal. Par exemple, si vous voulez parler à un ami d’un problème avec votre conjoint et que vous voulez garder cela aussi confidentiel que possible, vous serez bien protégé avec iMessage d’Apple, qui garantit un cryptage de bout en bout. [NDLA: à condition que le destinataire utilise la même application.] De nombreuses sources l’ont démontré.
Qu’arrive-t-il réellement aux personnes dont les informations personnelles ont été volées ?
Des gens à l’autre bout du monde utilisent des renseignements volés à des Canadiens pour acheter des billets d’avion, ouvrir un compte de téléphonie mobile et accéder à d’autres services. De plus, le trafic de passeports canadiens est plus important que jamais. Si une personne entre au Canada avec votre identité volée, eh bien, devinez où iront ses factures ? À votre adresse ! Et c’est vous qui devrez prouver que vous n’avez pas fait ces achats.
Mais même quand il n’y a pas de vol de renseignements personnels, les consommateurs ne devraient-ils pas s’inquiéter de savoir qui utilise ceux-ci, et comment ?
Tout à fait. Bien des entreprises, en particulier les compagnies d’assurance, recueillent des informations sur vos habitudes. Elles les obtiennent par l’intermédiaire de courtiers en données qui mettent la main sur des informations vous concernant par le biais de vos médias sociaux. Les programmes de récompenses comme Air Miles accumulent ces informations et les revendent sur le marché. Que ces informations soient anonymes ou non importe peu. Il est facile pour les entreprises de reconstituer le profil complet d’une personne à partir de données anonymes. Dans un avenir proche, les assureurs et les entreprises du secteur médical connaîtront vos habitudes de vie. Une appli de média social qui suit vos déplacements leur permettra de savoir à quelle fréquence vous sortez. Un assureur pourrait utiliser ces données pour refuser une demande d’indemnisation en affirmant que vous faites une fausse déclaration. De tels renseignements pourraient influer sur l’accès à certains services. Le gouvernement souhaite également en savoir plus sur vous. Par exemple, les forces de police peuvent scanner les médias sociaux pour voir si vous étiez présent à telle ou telle réunion. C’est possible parce que l’information est accessible au public ! Plus les gens les rendent disponibles, plus les organisations vont s’en servir.
Quel est le pourcentage d’entreprises qui travaillent activement à la prévention du piratage et du vol de renseignements personnels ?
L’an dernier, j’ai constaté une réelle augmentation des demandes d’entreprises pour des tests antifraudes. Mais dans l’ensemble, très peu d’entreprises prennent des mesures pour prévenir ou signaler les cyberincidents. Ça pose problème, car les cybercriminels cherchent des cibles faciles – souvent, ils ne sont même pas intéressés de savoir quel type d’entreprise ils rançonnent ! Mais leurs techniques, elles, évoluent sans cesse. Malheureusement, l’entrepreneur typique n’est pas très au fait des technologies et les gestionnaires ne sont pas aussi bien informés sur la cybercriminalité qu’on le souhaiterait. La plupart ne s’intéressent pas à ce problème. Ma première recommandation aux entreprises est de commencer par évaluer les risques et les menaces. Une fois qu’elles ont mesuré leur degré de vulnérabilité, elles peuvent mettre en place des mesures. Souvent, ce n’est pas plus sorcier que les mesures de protection contre les incendies, alors qu’on décide où placer les sorties de secours et les détecteurs de fumée.
Selon vous, le Canada aurait 10 à 15 ans de retard sur les autres pays dans la lutte contre la cybercriminalité. D’où vient ce retard ?
Pour comprendre, il faut y voir un problème de ressources. Sauf en Ontario et au Québec, des provinces qui ont leur propre police, c’est la Gendarmerie royale du Canada qui, partout, doit voir à tout, mais avec des ressources limitées. La cybercriminalité s’est accrue constamment l’an dernier, ce qui a obligé le gouvernement à investir davantage pour la contrer. Mais tous les services de police canadiens sont en retard pour y faire face, tant sur le plan des ressources humaines que des capacités techniques. Enquêter sur de tels crimes prend énormément de temps et requiert des compétences particulières pour monter une preuve légale. Les budgets n’ont pas encore suivi. Et les spécialistes capables de faire de telles enquêtes sont rares au sein de la police. Et quand il y en a, ils font face à des contraintes budgétaires qui les limitent. J’ai un ami policier qui a suivi un cours spécialisé en enquête juridico-informatique en plus d’un stage d’un an à la Sûreté du Québec. Quand il est retourné à son service de police, on l’a mis dans une autopatrouille parce qu’on manquait de patrouilleurs ! Ce problème de ressources n’est pas nouveau. Il existe depuis 10 ou 15 ans.
Le Canada vient de créer le Groupe national de coordination contre la cybercriminalité (GNC3) qui devrait être opérationnel en 2024. En quoi cela aidera-t-il les consommateurs ?
Il est nécessaire pour les consommateurs que les forces de police partout au Canada coordonnent leurs efforts de lutte à la cybercriminalité. Prenez le cas d’un service de police qui prend en filature quelqu’un dans l’internet clandestin. Il découvre un jour que deux autres forces de police enquêtent sur le même sujet. Avant le GNC3, les trois forces de police auraient travaillé en vase clos sans échanger d’information. Le GNC3 permettra de coordonner leurs efforts pour éviter ce genre de redondance. Supposons qu’à Sudbury des enquêteurs se penchent sur un cas de cybercriminalité et qu’à Halifax d’autres enquêteurs se penchent sur une situation semblable. Mais c’est à Montréal qu’on trouve plein de détails à propos des criminels. En coordonnant leurs efforts par le biais de la GNC3, ces trois forces pourront gagner du temps et des ressources, puis résoudre le crime plus rapidement.
Plusieurs provinces envisagent de créer leur propre « carte » d’identité numérique qui remplacerait le permis de conduire et la carte d’assurance maladie. En quoi est-ce que cela aidera à lutter contre le vol d’identité ?
Depuis cinq ans, le Conseil canadien de l’identification et de l’authentification numériques dirige un chantier national pour créer des identités numériques normalisées qui seront utilisées partout : dans les banques, les ministères ainsi que les entreprises de sécurité et de télécommunication. Le Canada n’invente rien. Plusieurs autres pays, comme la Belgique, le Brésil, l’Afrique du Sud et l’Estonie, gèrent les identités numériques depuis 10 ou 15 ans. En réalité, le Canada entre tout juste dans le XXIe siècle. Les identités numériques sont difficiles à falsifier, car elles combinent des informations d’identité provenant de différentes sources – numéro de passeport, achats en ligne, médias sociaux… L’expérience d’autres pays a montré que l’identité numérique est un moyen viable de protéger l’identité des citoyens. L’Estonie, qui compte 1,3 million d’habitants, a été le premier pays à utiliser des identités entièrement numériques pour tout, de l’achat de biens de consommation à l’exercice du droit de vote. Malgré les attaques de sympathisants pro-russes, le système estonien a survécu et il fonctionne toujours.