Les brèches de sécurité récentes, ainsi que les changements législatifs des derniers mois, alimentent largement les débats du milieu de la cybersécurité. Ces enjeux étaient aussi des préoccupations centrales des présentateurs de la 14e édition de la conférence GoSec, qui s’est tenu à Montréal les 29 et 30 août derniers.
Anciennes problématiques, nouvelles réalités
Maxime Laroche, procureur aux poursuites criminelles et pénales, connait bien les problèmes que l’émergence des nouvelles technologies représente pour le domaine judiciaire. Aujourd’hui, les technologies prennent une bien plus grande ampleur dans les enquêtes et les procès. Cette sphère a pris énormément d’ampleur; alors qu’elle se limitait à certains crimes bien précis il y a quelques années, son champ d’influence est en explosion, et le système judiciaire doit s’adapter. Dans ce contexte, un déficit de connaissances de l’appareil judiciaire et policier augmente la difficulté de faire comprendre la nature et les détails d’un crime. Par exemple, dans le cas de menaces faites sur un média social, il est essentiel que l’ensemble de la cour comprenne les rouages de la plateforme concernée. Les lois et les méthodes d’enquête doivent aussi s’adapter à ces « nouvelles » réalités. La collecte de preuves, qui était auparavant plus simple, s’est complexifiée. La collecte de preuves, quand il s’agit de messages textes ou de conversations Facebook par exemple, est plus difficile, tout comme l’établissement des modalités assurant le respect des droits et principes fondamentaux de tout accusé.
Si ces changements semblent majeurs, les mêmes préceptes continuent d’alimenter le processus judiciaire qu’auparavant. Ainsi, selon la common law, les services de police ne peuvent pas « s’introduire sans permission sur une propriété privée pour procéder à une fouille. » C’est toujours le cas aujourd’hui; cependant, les nouveaux outils de communication posent la question de la limite de ce qui constitue une propriété privée. Plusieurs présentateurs du SERENE-RISC ont abordé cette problématique sous différents aspects dans le cadre de GoSec 2018.
Pour Jie Zhu, auxiliaire de recherche au Laboratoire de cyberjustice de l’Université de Montréal et candidate au doctorat, le big data et le smart data changent la donne. Si des données personnelles, ainsi que des informations d’intérêt publiques, ont toujours été disponibles et sont essentielles aux principes démocratiques de liberté d’expression et d’impartialité des médias, la capacité de combiner beaucoup plus d’informations sur une personne, à un rythme beaucoup plus rapide, augmente les risques qui reposent sur la vie privée.
L’équilibre entre l’intérêt public et la vie privée dans l’utilisation du big data est parfois difficile à faire. L’application Lex Machina répertorie par exemple les décisions des juges et utilise les outils d’analyse mathématique et informatique pour permettre de comparer de façon très précise les décisions prises par les juges, comparativement à la moyenne nationale, selon des critères bien précis. Ceci permet aux firmes d’avocats et aux entreprise de mieux planifier leurs stratégies. Si la précision de tels outils est incomparable aux outils précédemment utilisés par les avocats, mais est-ce fondamentalement différent de l’approche du « bouche à oreilles » qui prévalait précédemment?
Préoccupations législatives
La réutilisation potentielle des données collectées dans un contexte précis, pour un usage tout autre, représente aussi une problématique différente de celles qui s’étaient présentées auparavant. Trois types de solution sont envisagées pour résoudre ces questions :
- Conditionner la réutilisation des données personnelles privées ou public à un consentement de la personne
- Limiter la durée de conservation des données personnelles recueillies
- Consacrer le droit à l’oubli.
Cette idée du droit à l’oubli, ou droit à l’effacement, a connu une recrudescence de popularité en Europe notamment de l’arrêt Google Spain, SL, Google Inc / Agencia Española de Protección de Datos. C’est d’ailleurs l’un des éléments marquants du RGPD européen, qui est entré en vigueur plus tôt cet année. Ce débat commence peu à peu à faire son chemin aussi en Amérique du nord. Fait à noter, le RGPD s’applique dès qu’une personne visée se trouve sur le territoire de l’Union Européenne. La nationalité des utilisateurs n’est pas un facteur déterminant.
Quant à la LCCJTI (Loi concernant le cadre juridique des technologies de l'information) québécoise, l’un des principes essentiels qui l’anime est la déclaration préalable à toute collecte d’informations personnelles. Les entreprises et organisations sont tenues d’informer les utilisateurs, du type d’informations recueillies, de la méthode de collecte, et de l’objectif de celle-ci. Ces informations doivent être facilement accessible et rédigées dans un langage compréhensible pour l’utilisateur final, afin de permettre un consentement éclairé.
Un élément fréquemment soulevé est que les utilisateurs doivent exprimer leur désaccord et leurs plaintes en cas de brèche de sécurité ou de mauvaise gestion de leurs informations personnelles. Cependant, un problème est assez significatif. Il est difficile individuellement de porter plainte suite à une brèche de sécurité ou un manque de discernement des entreprises à cet égard, parce qu’il faut d’abord savoir qu’on a été victime de celle-ci. Qui plus est, les efforts nécessaires pour déposer une plainte officielle et effectuer ses démarches sont importants.
Si toutes ses nouvelles mesures et préoccupations sont importantes, elles peuvent compliquer la tâche des organisations, tant au plan juridique que technique. De là l’importance d’intégrer la protection des renseignements personnels dès le début du processus de développement, plutôt qu’à la fin de celui-ci. La protection des données in design, en d’autres mots.
Identités multiples
Bianca Lopes, stratège en identité et conférencière, soulignait quant à elle l’impact de la démultiplication des identités, notamment avec la biométrie et les médias sociaux. Une seule personne correspond à de nombreuses identités distinctes. Ceci peut sembler un problème purement philosophique ou éthique, mais il entraine des questions importantes en matière de technologie de l’information et de sécurité informatique.
Par exemple, le gouvernement irlandais avait créé de nouveaux photobooth ultra perfectionnés, afin d’augmenter la sécurité de son passeport tout en facilitant son acquisition par la population. Cependant, un grand nombre de citoyens irlandais résident à travers le Royaume-Uni, qui ne possédait pas l’équipement nécessaire pour lire ces derniers.
En parallèle avec cette explosion des données et identités, gardons en tête le portrait plus global. Aujourd’hui, 1 milliard de personnes à travers le globe ne disposent d’aucun document d’identités. C’est un problème humain, mais aussi politique, juridique et économique. La réponse ne peut probablement pas se limiter à l’aspect technologique. Par exemple, l’idée d’offrir à chaque ménage un cellulaire présente plusieurs avantages et pourrait s’avérer plus simple à implanter que d’autres. Cependant, elle ne prend pas en compte que plusieurs personnes auront accès à ce même appareil. De plus, ceci pose la question du remplacement de ces technologies. Un appareil revendu identifierait-il le premier utilisateur, ou son nouvel acquérant?
On le réalise rapidement, les problématiques juridiques, sociales, politiques, économiques et humaines liées à la protection de l’identité dans notre univers de plus en plus connecté et numériques sont majeures. L’autorégulation ne semble pas une solution suffisante, et l’ensemble des acteurs doivent assumer leur responsabilité afin de résoudre ces problèmes, ou du moins les gérer plus adéquatement. Gouvernements, grandes entreprises, petites entreprises et institutions, développeurs, experts en sécurité, utilisateurs, nous avons tous un rôle important à jouer ici.
On le comprend facilement, la guerre contre les brèches de sécurité et les cyberattaques n’est pas prête d’être finie. Comme on l’a vu, cette lutte de longue haleine repose sur des principes juridiques centenaires, voir immémoriaux. Mais les principes même de cette guerre aux armes tout à fait nouvelles étaient déjà observables il y a près d’un millénaire.
Sūn Zi, dans son Art de la guerre, s’exprimait déjà en ces termes :
« Je dis que si tu connais ton ennemi et si tu te connais, tu n’auras pas à craindre le résultat de cent batailles. Si tu te connais toi-même sans connaître ton ennemi tes chances de victoires et de défaites seront égales. Si tu ne connais ni ton ennemi ni toi-même tu perdras toutes les batailles. »
Dans la deuxième partie de ce retour sur la conférence GoSec 2018, qui sera publiée cette semaine, nous reviendrons sur les présentations qui traitaient plus directement de ces deux aspects, soit le comportement et la préparation des entreprises, et la collecte d’informations essentielles entourant certaines menaces à la cybersécurité.