jeudi 30 octobre 2008

Les stratégies de protection contre le vol d'identité sont-elles efficaces?

Un récent sondage mené par Paypal semblerait démontrer que non. Conduit dans plusieurs pays en Amérique du Nord et en Europe, ce sondage démontre que le meilleur moyen de protection est la langue, les consommateurs des pays anglophones étant proportionnellement plus exposés au vol d'identité que les autres citoyens du monde. Alors que 10% des personnes ayant acheté des produits en ligne au Canada, aux USA ou au Royaume Uni ont été victimes d'un vol d'identité, le taux n'est que de 5% en France, en Espagne ou en Allemagne. Les échantillons de 1000 répondants dans chaque pays sont suffisamment importants pour que les résultats obtenus soient relativement fiables.

Cette variation s'explique évidemment par le fait que les fraudeurs ciblent en priorité les pays où le commerce électronique est le plus développé, mais aussi (et surtout) ceux où les moyens de paiement comme les cartes de crédit disposent des limites les plus élevées. Cependant, plusieurs questions portaient également sur les pratiques des internautes en matière de sécurité comme l'utilisation des mots de passe, la possession de machines à déchiqueter le papier ou encore le partage d'informations personnelles sur des sites de réseaux sociaux. Ces pratiques sont considérées comme génératrices de risques et de nombreux sites enjoignent les internautes à ne jamais partager leur mots de passe, à ne jamais utiliser des données faciles à deviner comme leur date de naissance pour créer leur mot de passe, à ne jamais divulguer des données personnelles sur les réseaux sociaux, ou encore à déchiqueter systématiquement les documents qu'ils reçoivent. Un exemple type est la campagne menée à grand frais au Québec par l'Institut de Sécurité de l'Information du Québec sur le thème "Je protège mon identité sur Internet".

Sans vouloir faire de peine à l'ISIQ, je ne suis pas certain que les recommandations faites aux internautes pour se protéger du vol d'identité soient suivies de résultats très probants si on se base sur le sondage de Paypal.

En effet, le fait de partager ses mots de passe avec des amis ou de membres de sa famille ne semble pas être une variable discriminante dans la victimisation: si seulement 28% des internautes allemands ont déclaré s'être livrés à cette pratique risquée, la proportion était du double (60%) aux États-Unis. On pourrait donc assumer que c'est là l'une des causes du vol d'identité... Mais une minute, la proportion de français qui font preuve d'une négligence identique (58%) est presque aussi élevée qu'aux USA, et pourtant, ils sont deux fois moins victimes de cette fraude. Les Français sont aussi les internautes qui sont le moins équipés de déchiqueteuses (seulement 17%), qui n'hésitent pas à laisser leurs logiciels de navigation administrer leurs mots de passe (plus de la moitiés des sondés français), ou encore qui indiquent leur date de naissance sur leur profil sur les sites de réseau social (plus d'un quart) ET qui utilisent cette date de naissance dans leur mot de passe!!! Qui plus est, ces Gaulois inconscients ne changent leurs mots de passe que très rarement (61% le changent moins d'une fois par an), à l'instar de leurs homologues ibères.

Visiblement, si l'on ne parle pas anglais, on peut se permettre de relâcher sa vigilance sans trop de conséquences. Pourquoi? Peut-être parce que contrairement aux idées reçues, la responsabilité individuelle des victimes de vols d'identité est relativement limitée comparativement aux moyens de prévention et aux bonnes pratiques que pourraient mettre en oeuvre les entreprises administrant les moyens de paiement et toute la chaîne du commerce en ligne.

mercredi 29 octobre 2008

La sécurité précaire des données personnelles en Amérique du Nord: nouvelle note de recherche

Vous pourrez télécharger une note de recherche que je viens de terminer avec Benoît Gagnon sur la sécurité des informations personnelles en Amérique du Nord sur le site de mon collègue Vincent Gautrais, qui la commente ici. Cette note nous permet de comprendre l’ampleur du problème des brèches de sécurité (qu’il s’agisse de vols, de négligences, de pertes ou de piratages) auxquelles ont été exposées les organisations publiques et privées (ainsi que leurs clients, usagers et employés) aux États-Unis et au Canada au cours de la période allant de janvier 2005 à janvier 2008.

Parmi les faits saillants de cette note :

• Pendant la période considérée, nous avons identifié 976 incidents de pertes ou de vols de données, ayant donné lieu à la compromission de 313 millions de dossiers personnels;

• Nous avons pu recenser 23 événements ayant eu lieu au Canada pour un total estimé de 4,4 millions de dossiers personnels compromis, mais en l’absence d’une obligation légale de divulgation pour les organisations victimes, ce chiffre nous semble fortement sous-estimé;

• Tous les secteurs d’activités gouvernementaux et privés semblent également affectés par des défaillances en matière de protection des données personnelles. Les secteurs de l’éducation, de la santé, les divers services gouvernementaux ainsi que les institutions financières sont les quatre principaux pourvoyeurs d’incidents;

• Plus de la moitié des incidents sont attribuables au vol d’équipements informatiques tels que des ordinateurs portables, ou à la négligence des employés des organisations concernées. Le piratage informatique ne concerne que 22,7% des affaires analysées. Il apparaît donc que ces incidents pourraient facilement être prévenus par une meilleure formation dispensée aux employés et le recours à des politiques plus strictes de transfert et de chiffrement des bases de données sensibles;

• Les principales victimes individuelles de ces incidents sont les usagers des services publics (35,1%), devant les employés des organisations concernées (22,8%) et les clients d’entreprises affectées (20,9%). La diversité des victimes individuelles et leur répartition relativement équilibrée selon les catégories semblent indiquer que ce sont bien les modes actuels de gestion des informations personnelles qui posent problème aux organisations, quelles que soient les personnes concernées;

• Bien que l’on observe une diminution du nombre d’incidents déclarés pour l’année 2007 après une forte augmentation en 2006, il est encore trop tôt pour dire si cette tendance est durable et si elle peut être attribuée au vote aux États-Unis de lois obligeant les organisations victimes à notifier publiquement les incidents. Par ailleurs, le contexte actuel de crise économique dans les secteurs immobilier et financier risque de générer de fortes pressions sur les organisations et leur sécurité informatique, créant un rique accru de vols et de pertes;

• L’absence de dispositions législatives de divulgation et de notification au Canada est problématique, dans la mesure où cela nous empêche d’avoir une image précise de la situation et des risques auxquels sont exposés les citoyens canadiens. Ce déficit d’imputabilité et de transparence limite également les organisations et les individus qui souhaitent mettre en place des moyens efficaces de protection contre ces brèches de sécurité.