Lorsque Starbucks a introduit la personnalisation de l'expérience du café en inscrivant le nom de ses clients sur leurs tasses à café, les gens se sont sentis lésés. Pourquoi diantre une chaîne de café voudrait-elle connaître votre nom?
Une fois que les buveurs de café ont compris que les baristas exigeaient leurs noms, une vague de protestations s'est déclenchée dans les médias sociaux, lancée par les gens dont les noms étaient mal orthographiés. Certes, la file d'attente s’allongerait si, à chaque commande, qu'on vous demandait comment épeler votre nom – « L’écrivez-vous avec un I? » Une théorie circule, selon laquelle ces fautes d’orthographe seraient en fait intentionnelles. Une façon d’inciter la clientèle à publier une photo de leur tasse de café sur les médias sociaux, en se plaignant que leur barista ignore comme épeler Bob, ou quel qu’autre nom « courant ».
Quoi qu'il en soit, une fois que vous avez donné votre nom à votre barista (et à toutes les oreilles indiscrètes dans la file d'attente), vous fournissez une information plutôt personnelle à des entités inconnues. Peut-être vous dites-vous que ce n’est pas si grave, alors que vous attendez votre latte-vanille-sans-sucre-avec-lait-écrémé, mais le fait de fournir quelque information qui puisse vous identifier personnellement pourrait au final se retourner contre vous.
Starbucks ne demande pas de pièce d'identité à quiconque. Alors, pourquoi ne pas envisager à fournir un pseudonyme ou un mot de code au lieu de notre nom? Voici un exemple expliquant concrètement pourquoi vous devriez au moins envisager de vous inventer un nouveau nom.
Récemment, alors que j’étais dans le train en direction de Londres, je me trouvais tout juste derrière un homme ayant avec lui un ordinateur portable et d'une tasse à café personnalisée. Il a ouvert son ordinateur portable et s'est connecté (je me dois d’ajouter que son disque n’était d’ailleurs pas entièrement chiffré), me permettant de voir le logo de l’entreprise affiché comme fond d’écran. Bien que je ne pouvais pas lire chaque mot de mon siège, je connaissais assez bien l'entreprise en question pour en reconnaître le logo.
Il m’a suffi d’un instant pour rechercher le nom de l’entreprise sur Google, pour découvrir le nom complet de mon voisin de siège sur la page [À propos] du site de l’entreprise, avec en prime photo et biographie complète. Je me suis alors retourné vers LinkedIn (en utilisant mon second profil, qui est très limité, afin de limiter les traces montrant que j’ai fouillé sur sa page) pour découvrir son historique professionnel. LinkedIn m’a aussi permis d’accéder à son adresse courriel personnelle, son compte Twitter et ses loisirs, en consultant sa bio.
J’ai donc consulté Twitter, où j’ai pu obtenir la liste de ses contacts, ses relations familiales et même, le nom de ses enfants. Le profil Facebook de sa femme était ouvert et incluait plusieurs photos de leurs deux animaux de compagnie. Elle semblait aussi très fière de leur mariage, dont elle affichait publiquement des photos et la date (bien que je n’avais alors que le jour et le mois).
Puis, j’ai accédé à Strava, une application d’échange sur l’activité physique. Son nom m’a permis de trouver son profil et donc, ses courses les plus récentes et ses circuits. Le problème avec Strava et d’autres applications d’entrainement similaires, c’est qu’elles permettent aux hackers de connaître les récents trajets de leurs victimes. Ainsi, puisque la plupart des gens débutent ou terminent leur trajet à partir de leur domicile ou leur lieu de travail, ces applis permettent à tout le monde de connaître leur lieu de résidence ou de travail!
Ayant en main le nom de sa fille, j’ai décidé d’aller sur Instagram. Bien que son profil soit privé, il m’a fallu moins d’une demi-heure pour qu’elle accepte une demande d’ajout en provenance de mon faux profil (vous seriez étonnés de voir le peu de vérifications que les ados font sur les comptes désirant les suivre!). En navigant à travers ses nombreux selfies et photos de plats, j’ai trouvé une photo d’anniversaire de son père ainsi que des messages de vœux d’anniversaire à ses parents, qui m’ont permis de déduire aussi leur année de mariage aussi.
Pour couronner le tout, pendant que je le regardais travailler, il éprouvait des problèmes d'empreintes digitales avec son téléphone et après chaque tentative infructueuse de déverrouillage de son écran, il recommençait à taper un code à 6 chiffres que je pouvais voir. Il s’agissait de la date de naissance de sa première fille. Ç’aurait été ma deuxième tentative, juste après son anniversaire de mariage.
À ce stade, plusieurs d’entre vous vous demandez peut-être quelle importance tout ceci peut avoir. « Qu'est-ce qu'un hacker peut vraiment faire avec mes informations? » « Est-ce si grave? » C'est cette attitude qui met à mal la cybersécurité de bien des gens. Alors que les banques sont de moins en moins promptes à offrir des remboursements dans ce type de cas, le problème ira en s'aggravant. Les pirates informatiques pourront toujours à faire de vos vies un enfer en utilisant des attaques ciblées et continueront de le faire.
Même si vous êtes convaincus que votre sécurité est infaillible, demandez-vous quelles informations sont rendues disponibles par votre famille et à quel point leur sécurité est-elle adéquate? Si le courriel de votre partenaire était piraté et que vous receviez un courriel de sa part posant une question relativement normale, par exemple « Quel est notre mot de passe bancaire déjà, chérie? », seriez-vous tenté de répondre ou est-ce que vos signaux d’alarmes se déclencheraient?
Donc, comment peut-on surmonter ce problème? Combien de temps devriez-vous attendre avant que les banques ne se lancent à la poursuite de l'argent qui a malheureusement été escroqué?
Les formations de sensibilisation ont leurs limites et l'apprentissage en ligne profite rarement à l'entreprise. Ainsi, la réponse réside fondamentalement dans un changement de culture. Sensibiliser les gens est une chose, mais les rendre meilleurs en est une autre. Par exemple, tout le monde sait qu'il ne faut pas réutiliser les mots de passe, mais trop de gens prennent encore ce risque chaque jour.
Les gens ne changent pas très facilement, surtout si l’enjeu ne les préoccupe pas vraiment. Dans ce cas, il est d’autant plus difficile de les persuader de ne pas tomber dans des pièges potentiels. En retournant la question de tous les sens, je pense que la réponse pourrait en fait résider dans l'industrie de la cybersécurité elle-même : les entreprises qui rendent obligatoire l'utilisation d'un mot de passe unique et d'une application d'authentification pour ouvrir une session, assureraient une meilleure protection à leurs données et réseaux.
Inévitablement, une telle mesure entrainerait un tollé immédiat et une litanie de tweets enragés de la part de clients incommodés. Cependant, si les gens ne changent pas leurs habitudes par choix, rendre la sécurité obligatoire rendra bientôt les entreprises et leurs clients beaucoup plus sûrs, sans avoir à s'inquiéter d'éclabousser nos données avec nos tasses à café personnalisées.