La nouvelle tombait hier qu'Equifax, une des trois agences d'évaluation de crédit d'Amérique du Nord, a été piratée et que les malfaiteurs avaient fait fuiter l'information de plus d'une centaine de millions de personnes, dont leur numéro d'assurance sociale.Bien que le piratage ait eu lieu en juillet, ce n'est qu'hier que la compagnie a décidé de divulguer l'information. Cette période d'un mois aura en fait été bien utile aux dirigeants de la compagnie qui, le 1er septembre, ont vendu sur le marché boursier plus de deux millions de dollars de leurs actions personnelles dans l'entreprise.Cet événement s'inscrit dans une chaîne de piratages massifs, comme ceux de la compagnie Ashley Madison et de Yahoo. Il semblerait bien que les compagnies qui détiennent les informations les plus sensibles sur nous se foutent un peu de la sécurité de ces informations qui nous sont pourtant essentielles pour garder un semblant de vie normale. Car même si vous ne le savez pas, il y a de très grandes chances qu'Equifax ait des renseignements sur vous, que ce soit par l'entremise de votre banque, votre compagnie de téléphone, etc., etc.Nous avons parlé à Luc Lefebvre, cofondateur de CryptoQuébec, pour qu'il nous éclaire sur certains points de ce dossier.Ça coûterait combien, environ, renforcer la sécurité d'une compagnie comme ça?
Ça dépend évidemment de plusieurs facteurs. Tout dépend de leur système d'exploitation, de leurs infrastructures et de leur politique d'entreprise. Mais on parle de plusieurs millions de dollars chaque année.Pour l'instant, ils ont le modèle « Ford Pinto »; il est plus rentable pour eux que vos données personnelles soient leakées que de sécuriser leur système. Et si ça arrive, ça leur coûtera bien moins cher de perdre un recours collectif et de débourser une centaine de millions de dollars et qu'on n'en parle plus! Ce n'est pas comme si quelqu'un allait aller en prison pour ça.Y a-t-il eu des projets de loi pour prévenir ce genre de problème?
Au Canada, nous avons des lois en lien avec la protection de données informatiques. Mais pas vraiment en ce qui a trait aux métadonnées. Par exemple, vos données seraient votre nom. Vos métadonnées seraient vos transactions dans un magasin.Mais même les lois sur la protection des données ne sont pas très punitives. Les dirigeants d'une compagnie ou de la firme de sécurité informatique avec laquelle elle travaille ne sont pas particulièrement imputables.Il y a eu quelques sorties du Commissariat à la protection de la vie privée du Canada, mais rien n'a abouti. Il est encore donc permis que des compagnies qui opèrent dans la transaction de métadonnées continue d'opérer de cette manière-là, en n'assumant pas pleinement leur devoir de protection des données avec lesquelles nous leur faisons confiance.
Ce genre de compagnies ne pourraient-elles pas simplement apporter des mises à jour constantes de leur système de protection informatique?
Faire des mises à jour, c'est surtout pour se donner bonne conscience. Ce sont les méthodes et les pratiques d'affaires de ce genre de compagnie, le problème. Equifax fait affaire avec différentes institutions financières pour avoir accès à nos dossiers pour surveiller nos habitudes monétaires, mais lorsqu'on veut voir notre cote de crédit ou savoir pourquoi notre demande d'hypothèque a été refusée, c'est presque impossible d'avoir accès à nos propres données.Le vrai problème, c'est la relation qu'on continue d'entretenir avec ces institutions qui ont notre information et le manque de contrôle qu'ont les citoyens sur leurs données et métadonnées.Est-ce que c'est très difficile à réaliser, un piratage de cette envergure?
Si on est assez motivé, tout est possible. C'est certain que seul, à moins d'avoir travaillé chez Equifax et de savoir comment ils opèrent, c'est très difficile. Ce sont souvent des gens qui travaillent en groupe. Rien n'est impénétrable; la sécurité à 100 % n'existe pas. Et il y a toutes sortes de personnes qui font des trucs dans le genre. Des groupes de hackeurs « chapeau noir », des États, des groupes terroristes. Tout dépend de leurs motivations.Qu'est-ce qu'on peut faire pour se protéger?
Dans ce cas-ci, rien. On est victime de ce système-là, on n'a rien à dire. On subit. Cela dit, les gens peuvent et devraient militer et demander plus d'encadrement légal de la part du gouvernement. C'est un système où pour l'instant le pouvoir est absolu, et la situation ne se réglera pas de sitôt.Billy Eff est sur internet ici et là.
Publicité
Ça dépend évidemment de plusieurs facteurs. Tout dépend de leur système d'exploitation, de leurs infrastructures et de leur politique d'entreprise. Mais on parle de plusieurs millions de dollars chaque année.Pour l'instant, ils ont le modèle « Ford Pinto »; il est plus rentable pour eux que vos données personnelles soient leakées que de sécuriser leur système. Et si ça arrive, ça leur coûtera bien moins cher de perdre un recours collectif et de débourser une centaine de millions de dollars et qu'on n'en parle plus! Ce n'est pas comme si quelqu'un allait aller en prison pour ça.Y a-t-il eu des projets de loi pour prévenir ce genre de problème?
Au Canada, nous avons des lois en lien avec la protection de données informatiques. Mais pas vraiment en ce qui a trait aux métadonnées. Par exemple, vos données seraient votre nom. Vos métadonnées seraient vos transactions dans un magasin.
Publicité
Faire des mises à jour, c'est surtout pour se donner bonne conscience. Ce sont les méthodes et les pratiques d'affaires de ce genre de compagnie, le problème. Equifax fait affaire avec différentes institutions financières pour avoir accès à nos dossiers pour surveiller nos habitudes monétaires, mais lorsqu'on veut voir notre cote de crédit ou savoir pourquoi notre demande d'hypothèque a été refusée, c'est presque impossible d'avoir accès à nos propres données.Le vrai problème, c'est la relation qu'on continue d'entretenir avec ces institutions qui ont notre information et le manque de contrôle qu'ont les citoyens sur leurs données et métadonnées.Est-ce que c'est très difficile à réaliser, un piratage de cette envergure?
Si on est assez motivé, tout est possible. C'est certain que seul, à moins d'avoir travaillé chez Equifax et de savoir comment ils opèrent, c'est très difficile. Ce sont souvent des gens qui travaillent en groupe. Rien n'est impénétrable; la sécurité à 100 % n'existe pas. Et il y a toutes sortes de personnes qui font des trucs dans le genre. Des groupes de hackeurs « chapeau noir », des États, des groupes terroristes. Tout dépend de leurs motivations.Qu'est-ce qu'on peut faire pour se protéger?
Dans ce cas-ci, rien. On est victime de ce système-là, on n'a rien à dire. On subit. Cela dit, les gens peuvent et devraient militer et demander plus d'encadrement légal de la part du gouvernement. C'est un système où pour l'instant le pouvoir est absolu, et la situation ne se réglera pas de sitôt.Billy Eff est sur internet ici et là.