Notre pire ennemi, c’est nous

Le facteur humain

Exclusif

On ne le dira jamais assez : l’insouciance est une menace aussi sévère pour notre sécurité en ligne que les pirates informatiques. En voici la preuve, deux fois plutôt qu’une.

«À chaque jour suffit sa brèche de sécurité», dira un jour le proverbe.

Un matin, c’est une énorme faille dans le code source d’un module utilisé par la moitié de la planète, comme Heartbleed et Shellshock. Le lendemain, c’est un détaillant qui commet une bêtise avec les numéros de cartes de crédit de 27 millions de ses clients. Et le surlendemain, comme vous l’apprenait récemment l’ami Benoît Gagnon, c’est un pirate notoire qui se lance en «affaires» comme courtier en crosses. De quoi se mettre à regretter l’époque où on échangeait les données avec des pigeons voyageurs.

Mais si les problèmes de sécurité sont nombreux, on n’est quand même pas obligés de courir après. Or, deux expériences récentes démontrent qu’en matière de «course après», nous sommes des champions.

Votre premier-né pour du Wi-Fi gratuit

Comment aurait-on pu savoir que c’était un piège? Peut-être en lisant le contrat d’utilisation, qui stipulait que chaque utilisateur s’engageait à céder l’aîné de ses enfants à la compagnie sur demande.

Histoire de promouvoir ses services, la compagnie de sécurité informatique F-Secure a récemment installé un point d’accès Wi-Fi gratuit dans un centre commercial de Londres. «Bonne affaire», se sont dits de nombreux clients, qui se sont connectés au point d’accès sans se poser plus de questions.

Résultat : en une demi-heure, les internautes ont gentiment fourni à F-Secure quelque 32 Mo de mots de passe et de messages personnels. Des données que la compagnie affirme avoir détruits, après s’être servie de l’expérience pour démontrer l’importance de sa technologie pour protéger les clients trop naïfs contre eux-mêmes.

Comment les clients auraient-ils pu savoir que le point d’accès Wi-Fi gratuit qui leur était soudainement offert était un piège? Peut-être en lisant le contrat d’utilisation dudit point d’accès, qui stipulait que chaque utilisateur s’engageait à céder l’aîné de ses enfants à la compagnie sur demande. (En cas de pénurie d’enfants, on pouvait également payer avec son chien ou son chat.)

On ne peut qu’espérer que la majorité des clients n’ont pas lu ce contrat, et que rares sont ceux qui l’ont fait et qui se sont dits : «Mouais, c’est un échange équitable.»

Jacquot veut un biscuit?

L’expérience de F-Secure démontre qu’il est très facile d’exploiter le comportement typique des internautes pour leur cacher des choses. L’artiste Risa Puno, elle, a prouvé qu’on pouvait extraire de l’information personnelle sans même se donner la peine de cacher quoi que ce soit.

Avez-vous une fringale? (Photo : Talisman Brolin)

Avez-vous une fringale? (Photo : Talisman Brolin)

Lors d’un festival qui a récemment eu lieu à New York, Puno offrait aux visiteurs des biscuits à l’effigie de Facebook, Twitter et Instagram en échange de leurs adresses (vérifiées en examinant leurs permis de conduire), de leurs numéros de téléphones ou des noms de jeunes filles de leurs mères. Sur 380 visiteurs, 162 sont mêmes allés jusqu’à lui révéler les quatre derniers chiffres de leurs numéros d’assurance sociale, et 117 ont laissé Puno prendre leurs empreintes digitales. Quand les visiteurs lui demandaient ce qu’elle ferait avec cette information, Puno ne disait rien et pointait vers son «contrat de service», une page de charabia d’avocat qui spécifiait notamment que toute l’information personnelle qu’elle recueillait pouvait être affichée en public n’importe où, n’importe quand.

J’espère que les biscuits étaient bons.

Parce que, selon la journaliste de Pro Publica qui a couvert l’expérience, Puno ne sait pas encore si elle détruira les formulaires ou si elle les conservera pour toujours – ou jusqu’à ce qu’un voleur s’en empare.

  • marco

    On devrait enseigner dès le primaire les règles élémentaires de sécurité en informatique.
    Seulement 15 à 20% de mes clients sont sensibilisés à la sécurité. Je suis toujours étonné de voir
    que certains ont toutes leurs données étalés comme un buffet à volonté pour les hackers !!!

    • Steve C

      Pour vour preprendre
      On devrai enseigner dès le primaire les règles élémentaire de la vie en société ..

    • François Dominic Laramée

      Ça serait une bien bonne chose, Marco. Mais avec les compressions budgétaires en éducation, j’ai bien peur que l’embauche de spécialistes en sécurité ne soit pas pour demain. Peut-être que les corps policiers municipaux pourraient parler de mesures élémentaires de sécurité informatique avec les élèves lors de leurs visites dans les écoles, s’ils en font toujours aujourd’hui? (Mes souvenirs de l’école primaire sont malheureusement très, très lointains!)

      • Serge

        Je me souviens qu’en secondaire 1 ou 2, on avait un espèce de cours dans lequel on apprenais à cuisiner, à coudre, et autres trucs de la vie de futur célibataire (ah oui, je me souviens même avoir recu une bonne heure de cours sur comment se brosser les dents). C’était tellement bourré de niaiseries ce cours là, me semble que qu’insérer une ou 2 heures pour monter aux enfants comment se servir d’internet (facebook, etc…) serait une bonne chose. Je ne sais pas si ce cours se donne encore par contre. LOL….. Malgré, qu’après y avoir réfléchi, je ne crois pas que ca soit très utile; l’adulte leur montrera surement toutes les photos de ses propres jeunes enfants sur son profil facebook. #sarcasme

  • Gaston

    Je crois que la technologie a évoluée trop vite dans un laps de temps trop court et le problème, c’est que les mœurs et les habitudes de société n’ont pas suivi la cadence.

  • Steve C

    On ne peut pas demander à une personne ou bien à une société d’avoir un comportement autre que le comportement quotidien ….. Ce n,est pas la relation avec l’informatique le problème … c’est la relation avec la société en elle même ……
    Les comportements idiots ou inconscients que l’on retrouve sur le NET se retrouvent en même proportion dans la vie réelle …..
    Les gens en occident se lâché a eux même dans cette société avec une minime formation pour s’y retrouver et fonctionné …. aucune notion de civisme n’est enseignée ou peu et quand elles sont enseignées elles sont rapidement oublier, car non imposé par le système ……..
    Donc comment voulez-vous que des sans-allures dans le monde réel aient un tantinet de bon sens dans le monde virtuel ?
    Comme Marcel Mauss et Justine Herbet et autres penseurs du grand réseau font remarquer …. l’internet n’est que le miroir de la société et ce n’est pas en pointant le reflet qu’on parvient à la source .

  • Serge

    C’est un article qui tombe presque bien. Il y a quelques heures à peine, ma copine, auquelle je n’arrête pas de dire « Sur internet, ne divulgue jamais ton numéro de carte de crédit (va t’en acheter une pré-payée chez Jean-Coutu) ni aucune autre informations personnelles, peu importe le site, même si c’Est un site de confiance » …. Je lui répète tellement souvent, vous pouvez pas savoir.

    Et bien, pas plus tard que ce matin, elle me dit qu’elle a reçu un email d’Apple lui demandant de confirmer ses informations. J’y dit « et j’imagine que tu n’as rien remplis, right? et que là tu me demande si tu devrais le faire où non, right? », elle me répond « non, je trouvais ca bizarre, mais c’Est quand même Apple et j’ai remplis mes informations comme demandé »…. (c’est le moment où j’ai litéralement « slapped my head on the desk ». Du coup, passé 1hre au téléphone a canceller carte de crédit, et flaguer son compte chez Équifax et Trans-union comme potentiel vol d’identité et reconfiguré tout son compte Apple et changé mot de passe de toutes ses adresses email (interconnexion de mot de passe oblige).

    Que de plaisir…. et c’est là que je me suis dit qu’au bout du compte, on ne peut pas changer l’être humain. Que ce soit online ou en magasin ou de personne à personne, si on est habitué à faire confiance et si on a confiance dans les technologies, on donnera tout sans regarder; et ce, peu importe les « warning » lancé par quiconque…. Et même si ce quiconque est son conjoint et qu’il travaille en informatique.

    • François Dominic Laramée

      Vous avez malheureusement raison, Serge. De nos jours, pour être en sécurité (toute relative), il faut être très méfiant. Ce qui n’est pas particulièrement bon pour le moral!