642 millions. Ce nombre m’a fait littéralement tomber en bas de ma chaise. Non, ce n’est pas le montant qui se trouve dans mon compte en banque, je vous le jure. Il s’agit plutôt du nombre d’identifiants numériques (nom d’utilisateur et mots de passe) se retrouvant dans une base de données qu’un pirate informatique a récemment décidé de rendre disponible en ligne. Grosso modo, ça équivaut à la moitié des membres de Facebook. Une p’tite base de données, quoi.
La triste réalité contemporaine en est là. Les identifiants numériques ne cessent de fuiter partout. Il n’y a pas une semaine qui passe sans que je voie passer des nouvelles indiquant une fuite de masse de données personnelles.
Je vous entends déjà me dire la chose suivante : «Ah oui, mais moi, je ne vais jamais sur Internet.»
Même si vous vivez dans une forêt éloignée de la civilisation, il est fort probable que votre certificat de naissance dorme quelque part dans une base de données; base de données qui est évidemment protégée par… un nom d’utilisateur et un mot de passe.
Soit. Cependant, ce n’est pas parce que vous n’y allez pas que les gens responsables d’informations vous concernant n’utilisent pas Internet. Ainsi, même si votre seul compagnon de vie est une grosse roche et que vous vivez dans une forêt éloignée de la civilisation, il est fort probable que votre certificat de naissance dorme quelque part dans une base de données; base de données qui est évidemment protégée par… un nom d’utilisateur et un mot de passe.
Ainsi, il suffit qu’un système soit piraté pour que vos précieuses données personnelles se retrouvent dans la nature, et ce, sans que vous en ayez la moindre idée. Pire, il se pourrait aussi que la personne ou l’organisation responsable de la gestion sécuritaire de vos données ne soit pas, elle non plus, au courant de la fuite. Bref, votre identifiant numérique, et tout ce qui en découle tournent peut-être depuis des semaines dans des réseaux de criminels et vous n’en êtes même pas au courant.
Pourquoi en sommes-nous rendus là?
Le problème est en fait double. Il se situe tout d’abord dans le fait que nous disons oui à tout et n’importe quoi. Soyez honnête. Vous ne les avez jamais lues les contrats d’utilisations. Pour la vaste majorité d’entre vous, vous appuyez sur le bouton I Agree pour vous débarrasser le plus rapidement possible de la maudite fenêtre qui ne sert à rien.
Rares sont les personnes qui auront lu au moins une fois les conditions d’utilisation des logiciels et services web qu’ils utilisent. D’ailleurs, si je l’ai déjà fait, je ne le fais plus depuis belle lurette. Que voulez-vous, semblerait-il que je dois travailler. Car lire ces conditions est un marathon interminable. Juste les conditions d’utilisation de PayPal comportent environ 80 pages.
Ce que cela signifie, c’est que quand vous acceptez les conditions, vous acceptez souvent de facto que l’on ramasse une somme importante d’informations sur vous et vos activités. Si cela est bien en théorie, cela représente toutefois une problématique importante en matière de sécurité : plus de données recueillies signifient nécessairement plus de données à sécuriser et, par la bande, plus de systèmes, donc plus de vulnérabilités potentielles.
En plus, ce n’est pas comme si l’on pouvait vraiment négocier avec les conditions d’utilisation. C’est noir ou blanc. Vous appuyez sur le bouton I Agree, on vous laisse installer gentiment le logiciel. Vous appuyez sur le bouton I Disagree, le logiciel se ferme, ciao bye, zéro place aux compromis. Soit vous acceptez tout en bloc, ou vous déguerpissez.
Cela est d’autant plus vrai dans la dynamique actuelle où le logiciel est de plus en plus vu comme quelque chose que l’on peut (et doit?) obtenir gratuitement. Comme je vous l’ai déjà martelé souvent dans cette colonne : si c’est gratuit, c’est vous le produit. Dans le cas qui nous intéresse, ce sont vos données; des données qui seront envoyées un peu partout pour être mâchouillées par des spécialistes de marketing. Question de vous envoyer de la publicité ciblée, vous comprenez?
L’autre versant du problème est que, pour le meilleur ou pour le pire, on vous force maintenant à utiliser le Web pour presque tout. Transactions bancaires? Allez sur notre site web. Vous voulez vous inscrire à notre gym? Vous feriez mieux de passer par le Web. Vous voulez gérer votre dossier scolaire? Allez sur le portail web de l’université.
Si cela est bien pratique pour l’utilisateur moyen, cette omniprésence d’Internet a cependant pour effet d’augmenter drastiquement la taille de son empreinte numérique et de multiplier le nombre d’identifiants numériques pouvant lui être lié. Considérant qu’une personne utilise en moyenne entre quatre à huit mots de passe différents pour gérer l’ensemble de sa vie numérique, c’est clair que cela multiplie donc la surface de vulnérabilité dudit utilisateur.
Ouin, pis?
C’est bien vrai ça! Quossa change tout ça?
Disons que cela peut nous permettre de contester le discours ambiant sur les responsabilités de l’utilisateur quant à ses informations nominatives. Je veux bien admettre que l’internaute doit faire un minimum d’effort pour protéger ses données personnelles, mais à un moment donné, il faudra bien aussi considérer que son degré de responsabilité est de plus en plus limité dans l’ensemble.
Ainsi, ce n’est assurément pas en poussant seulement sur l’éducation des utilisateurs à la sécurité de l’information que l’on améliorera les choses. Il faudra nécessairement des solutions plus structurées, et surtout plus structurantes.
