Pourquoi les sites Web ne protègent-ils pas mieux nos données ?
La mise en ligne de données personnelles concernant environ 36 millions d’utilisateurs du site de rencontres adultères Ashley Madison a relancé la question de la sécurité sur l’internet cette semaine. Comment protéger les données sur la Toile ?
Tous les experts consultés par sont formels : c’est impossible. « En sécurité, le 100 % n’existe pas, rappelle José Fernandez, professeur à Polytechnique Montréal. Cela dit, il y a du 99 %, du 90 %, du 50 % et du 10 %. » Même en se projetant dans l’avenir, il est difficile d’imaginer la perfection.
« Il y a toujours une motivation pour des pirates d’avoir accès à vos informations, estime Marc-André Léger, professeur à l’Université de Sherbrooke. Plus on sécurise, plus des gens se concentrent à trouver des façons de contourner. C’est le jeu du chat et de la souris. »
Les détails précis manquent quant à la façon dont les pirates s’y sont pris, mais il y avait clairement des lacunes évidentes dans les méthodes de l’entreprise, relève Éric Parent, fondateur de Logicnet et EVA-Technologies, qui a longuement critiqué l’entreprise dans quelques billets de blogue.
« Ils n’ont pas cessé de lancer des absurdités comme dire qu’ils avaient embauché les meilleurs ou qu’ils allaient retirer les données d’internet », dit-il. La simple nature des données exposées démontre, à son avis, une forme d’incompétence en ce sens que « tous les morceaux se trouvaient au même endroit ».
Offrir un niveau de sécurité décent n’est pas cher, arguent les experts. « C’est plus cher, mais ce n’est pas cher », fait valoir M. Fernandez, selon qui le problème vient d’un manque d’incitatif, positif ou négatif. « Personne ne va vous emmener en prison si votre site n’est pas sécuritaire, déplore-t-il. Au pire, on a une crise de communications sur les bras, on embauche une firme de communications et ça passe. Il peut y avoir un soubresaut en Bourse mais même là, ça finit par rebondir. Il suffit de regarder Target. »
Les consommateurs ont aussi leurs torts, selon M. Fernandez. « La sécurité ne vend pas, les consommateurs ne sont pas prêts à payer pour. Ils sont habitués à la gratuité. Et quand on ne paie pas, on ne peut pas voter avec notre portefeuille. »
« En théorie, il faut faire une analyse de risque, voir ce que l’on est prêt à tolérer, enseigne Marc-André Léger à ses étudiants. C’est un peu comme un individu qui doit assurer sa maison ou son auto et doit déterminer le risque qu’il est prêt à prendre, en fonction de son budget.
« Mais en pratique, très peu d’entreprises le font. Elles essaient toujours d’en faire le moins possible pour un minimum d’exposition. Les banques mettent beaucoup d’argent dans la sécurité parce que, pour elles, le risque est facilement quantifiable. »
L’utilisation du cryptage des données, entre autres, est beaucoup plus répandue chez les banques. Pour le spécialiste en cryptage Claude Crépeau, de l’Université McGill, il « n’aurait pas été épouvantablement compliqué » pour Avid Life Media de crypter les bases de données contenant les données de ses clients.
« On tient pour acquis que les gens ne vont pas se rendre aux données, déplore-t-il. Là, une fois rendu, tout est en clair. » Il est même théoriquement possible d’obtenir une sécurité à 100 % avec des données cryptées, croit-il.
« Possible, mais très impraticable. Il faut une information secrète aussi importante que l’information qu’elle protège. »
Autrement dit, pour protéger une base de données d’environ 3 gigaoctets comme celle d’Ashley Madison, il aurait fallu un mot de passe de 3 gigaoctets, soit plusieurs milliards de caractères…
Certes, on peut décider de vivre en ermite et d’éviter l’internet, mais ce n’est pas très réaliste, conviennent les experts. « Les transactions bancaires et par cartes de crédit sont un risque qu’on ne peut plus refuser », estime M. Fernandez. Pour Claude Crépeau, « si on est prêt à vivre avec le risque, parce que la fuite ne serait pas grave ou parce que la banque garantit notre transaction, par exemple, il n’y a pas de problème ».
« Mais je ne donnerais pas mon nom et mon adresse à un site où il y a des activités auxquelles je ne voudrais pas que les gens sachent que je participe. »