(Photo: 123RF)
BLOGUE INVITÉ. Vos données personnelles ont été exportées d’une base de données sécurisée sans autorisation? Voilà une réalité qui en touche plusieurs. Les experts en sécurité projettent que les violations de données seront de plus en plus fréquentes.
Sur les médias sociaux, nombreux sont ceux qui proposent l’utilisation de la technologie blockchain pour sécuriser leurs données virtuelles.
Explorons cette proposition ensemble
Lors des récentes brèches de sécurité (chez Desjardins, Capital One, Revenu Québec ou ailleurs), ce sont souvent des employés qui ont permis d’exporter des données. Cela étant dit, toute entreprise et tout gouvernement doit être sensible à cette réalité.
Même avec des réglementations et des directives, comme au sein de l’Union européenne, où le nouveau règlement général sur la protection des données renforce et unifie, comme son nom l’indique, la protection des données, les employés représenteront toujours une source de fuite potentielle.
Que ce soient les ressources humaines, les gestionnaires d’accès, les failles applicatives ou les autres processus, ce sont les éléments gravitant autour des données qui représentent normalement des risques.
Avec les infrastructures informatiques actuelles, les experts recommandent de changer fréquemment de mot de passe. En ce qui concerne une infrastructure blockchain, l’élément qui agit comme authentifiant est une paire de clés virtuelles: (clé publique/privée).
Ces clés permettent de chiffrer, déchiffrer et d’accéder aux données que nous possédons. La clé dite privée doit alors être enregistrée et sécurisée dans un environnement virtuel de confiance. Cet environnement pourrait être décrit comme un porte-document virtuel dans lequel plusieurs clés permettraient des interactions avec des réseaux distincts: réseaux pour la propriété intellectuelle, réseaux de certificats scolaires, réseaux de permis de conduire, réseaux de renseignements médicaux, réseaux des avoirs dans une entreprise, réseaux financiers, etc.
Ici, je tiens à préciser que ce porte-document virtuel n’est pas mon identité numérique, mais pourrait contenir des attributs permettant de m’identifier: carte citoyenne, renseignements de mon permis de conduire, renseignements d’assurance maladie ou le fameux numéro d’assurance sociale (NAS).
C’est là que survient le paradoxe. Pour m’identifier et accéder au porte-document, je ne peux pas utiliser les attributs de mon identité virtuelle, car ceux-ci seraient stockés à même celui-ci.
Alors, avec une bonne expérience utilisateur, comment accéder à nos clés de façon sécuritaire, accessible en connexion multipériphérique sans contre-validation de l’identité par une base de donnée centrale?
Très peu de systèmes sont développés pour interagir avec les réseaux mentionnés, mais l’approche par chiffrement alimente plusieurs projets mondiaux.
Les processus de la cryptographie sont complexes et peuvent nécessiter un temps d’exécution considérable. Ce temps d’exécution peut être trop long pour le bon fonctionnement de certains services en ligne ou applications.
Chiffrement de l’identité virtuelle
Certaines institutions financières, comme BMO, ont commencé à intégrer leurs clients sur Vérifiez.moi, une plateforme blockchain utilisant la technologie SecureKey. Cette approche, qui est actuellement étudiée par l’industrie, centralise un numéro unique dans une blockchain privée permettant de faire un pont numérique vers mes renseignements personnels hébergés dans mon institution financière.
Cela rend disponibles certains attributs de mon identité virtuelle, mais pourrait donner un niveau important de pouvoir aux institutions financières.
Avec les récentes annonces, je perçois l’approche comme un pansement sur une plaie ouverte. Même logique que celle de proposer de sécuriser les citoyens en utilisant Equifax, qui en 2017 avait subi une brèche de sécurité majeure.
À suivre !
Nous sommes en mode réaction
Il est primordial de solutionner les problèmes et adopter une meilleure gestion de nos données, en commençant par nos attributs de l’identité virtuelle. Le gouvernement doit agir!
Est-ce la banque ou le gouvernement qui devrait devenir fiduciaire de ce porte-document? Plusieurs questionnements surviennent. Les gens qui ne sont pas confortables avec la technologie, on en fait quoi?
Désirons-nous mettre ce porte-document dans les serveurs de Facebook? Calibra, le portefeuille que Facebook proposera bientôt, pourrait dangereusement devenir un point central de nos données, commençant par des registres financiers.
Sur le site de Calibra, on peut lire: «tous les comptes et transactions sont vérifiés et l’application est conçue pour être à l’épreuve des fraudes. Les comptes sont vérifiés à l’aide d’une pièce d’identité officielle, pour confirmer qu’une personne est bien qui elle affirme être. [...] Votre historique de transactions est privé: nous ne le communiquerons jamais publiquement.»
(À lire avec sarcasme) Ouf, maintenant, j’ai confiance…! Je vous invite à vous faire une opinion en écoutant le documentaire The great hack!
L’expérience utilisateur facile ne doit pas faire éclipser la préoccupation de la sécurité de l’utilisateur.
Soyons proactifs. Oui, la sécurité informatique ne représente pas un rendement sur le capital investi intéressant, mais en considérant que le Mouvement Desjardins a comptabilisé une charge de 70 millions $ au deuxième trimestre liée au vol de données annoncé en juin, le balancier revient toujours.
L’identité virtuelle est un des principaux enjeux de l’informatique. La technologie blockchain pourrait éventuellement venir en renfort, mais de nombreuses questions éthiques, technologiques et de faisabilité subsistent.
Cette technologie et ses applications sont encore en phase alpha et doivent faire leurs preuves. Ce serait mentir de dire que le Bitcoin ou Ethereum n’ont jamais connu de failles. Cependant, l’écosystème collaboratif est très réactif afin de solutionner rapidement les problématiques.
Alors, que ce soit une base de données standard ou un réseau blockchain, les outils, applications, processus et environnements gravitant autour représentent de bien plus grands risques.
La création de données est exponentielle et devient rapidement l’or noir du 21e siècle. Les infrastructures technologiques doivent évoluer et nous permettre un meilleur contrôle sur nos données. Ce n’est pas utopique, il suffit d’avoir une vision commune.