Nouvelles plateformes, nouvelles mesures de protection : protéger la vie privée dans le cyberespace

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Commentaires lors de la Conférence donnée au Centre de la sécurité nationale et organisée par le Conference Board du Canada

Le 23 février 2011
Ottawa (Ontario)

Chantal Bernier
Commissaire adjointe à la protection de la vie privée du Canada

(La version prononcée fait foi)


Je suis heureuse d’avoir l’occasion de faire partie de ce groupe d’experts sur la cybersécurité. J’aimerais vous parler de la cybersécurité du point de vue particulier de la protection de la vie privée.

La relation entre la protection de la vie privée et la sécurité est une médaille à deux faces. Dans certains cas, la cybersécurité, comme toute mesure de sécurité, peut représenter une menace pour la protection de la vie privée. Nous nous sommes penchés sur cette question, par exemple, dans notre présentation devant le Parlement concernant la législation sur l’accès légal. Nous avons aussi rédigé un document sur l’intégration des facteurs relatifs à la vie privée dans les mesures de sécurité. Ce document, intitulé Une question de confiance, vous sera remis par les organisateurs de la conférence.  

Toutefois, l’envers de la médaille est que la cybersécurité — ces mesures adoptées par le gouvernement et le secteur privé pour protéger l’infrastructure de l’information et les données qu’elle renferme — est un moyen d’assurer la protection de la vie privée. 

L’angle sous lequel j’aborde la protection de la vie privée aujourd’hui est plutôt simple : puisque les renseignements personnels se retrouvent de plus en plus dans le cyberespace, la protection de la vie privée dépend de plus en plus de la cybersécurité.

Tout est dit. Mais puisque l’on m’a accordé encore quelques minutes pour vous parler, permettez-moi de vous donner des exemples concrets de la façon dont le Commissariat a relevé jusqu’à présent les défis posés par la cybersécurité. J’ai choisi des exemples qui illustreront les diverses activités menées par le Commissariat pour protéger la vie privée dans les secteurs public et privé, à savoir les enquêtes, les vérifications, les conseils au Parlement et la sensibilisation du public.

En ce qui concerne l’intrusion dans les réseaux du gouvernement fédéral de la semaine dernière, nous avons été informés de façon non officielle qu’aucun renseignement personnel n’avait été compromis, mais nous gardons un œil attentif sur cette question.

Vérification de l’utilisation des technologies sans fil

Une des façons pour le Commissariat de remplir son mandat est d’effectuer des vérifications des organisations publiques et privées quand il a des raisons de croire que des problèmes systémiques portent atteinte au droit à la protection de la vie privée. Le secteur des technologies sans fil est particulièrement vulnérable, tout simplement parce que les réseaux et les dispositifs sans fil sont utilisés dans le traitement et la transmission d’une grande quantité de renseignements personnels.

Puisque le gouvernement recueille et détient certains renseignements extrêmement délicats sur les Canadiens et que les fonctionnaires utilisent de plus en plus les dispositifs et les réseaux sans fil pour être plus efficaces dans la prestation de services aux Canadiens, le Commissariat a récemment effectué une vérification de la technologie sans fil dans des ministères et organismes fédéraux choisis. Les directives et les conseils donnés par le Centre de la sécurité des télécommunications du Canada (CSTC) font partie des critères que nous avons utilisés dans le cadre de la vérification.  

Nous avons constaté qu’aucune des organisations vérifiées n’avait entièrement évalué les menaces et les risques inhérents à l’utilisation des technologies sans fil. En l’absence de telles analyses, il est impossible de s’assurer que tous les risques ont été cernés et atténués de façon appropriée.

Nous avons aussi constaté des différences dans les niveaux de cryptage des réseaux sans fil des quatre ministères vérifiés qui disposaient de tels réseaux : seulement trois d’entre eux utilisaient un système de cryptage de sécurité qui respectait les niveaux recommandés par le CSTC.

Quant aux téléphones intelligents, seulement trois des cinq ministères avaient adopté des protocoles de protection par mot de passe robuste et aucun n’exigeait que les données conservées dans la mémoire de ces dispositifs soient chiffrées. Quatre des cinq ministères ne disposaient pas de procédures écrites visant à limiter le risque d’une atteinte à la protection des données en cas de perte ou de vol d’un dispositif. À une exception près, les ministères ne sensibilisaient pas les utilisateurs de technologies sans fil aux risques que présentent ces dispositifs pour la vie privée et ils n’enseignaient pas la manière de les utiliser pour protéger la vie privée.

Nous avons aussi remarqué l’absence de politiques liées à l’utilisation de la messagerie NIP à NIP. De plus, selon un article de la Presse canadienne diffusé la fin de semaine dernière, certains fonctionnaires utilisent encore la messagerie NIP à NIP pour transmettre de l’information qui devrait être sécurisée, ce qui va à l’encontre des recommandations du CSTC.  

Le gouvernement utilise notre rapport de vérification en vue d’apporter les améliorations nécessaires à la sécurité des technologies de l’information.

Récentes enquêtes sur le secteur public

La récente atteinte à la sécurité au gouvernement fédéral était plutôt spectaculaire, mais en réalité, nous enquêtons chaque année sur un certain nombre d’incidents.

Par exemple, en septembre 2008, un administrateur de système informatique d’Agriculture et Agroalimentaire Canada s’est aperçu que quelqu’un de l’extérieur s’était infiltré dans deux serveurs Linux et avait installé un logiciel de courriel modifié. Tout indiquait qu’il s’agissait de l’œuvre d’un « piratin » — un amateur qui utilise des logiciels malveillants facilement accessibles pour attaquer les systèmes et réseaux informatiques, simplement pour le plaisir.

Bien que peu sophistiquée d’un point de vue technique, cette atteinte représentait une menace pour quelque 60 000 dossiers comprenant les données personnelles des producteurs agricoles bénéficiant du programme de prêts garantis du gouvernement fédéral.

En octobre 2009, un journaliste a signalé au Bureau de l’ombudsman de la Société canadienne des postes qu’une erreur de programmation avait permis à une tierce partie non autorisée d’accéder aux renseignements personnels soumis par l’entremise du système des plaintes en ligne de l’ombudsman. Les données touchées comprenaient le nom, l’adresse postale, l’adresse électronique et le numéro de téléphone des plaignants, de même que des détails sur la plainte déposée.

En septembre 2010, Service Canada a été victime d’une atteinte à la protection des données dans le cadre du lancement de la nouvelle technologie Clé d’accès. Service Canada était le premier organisme à essayer la nouvelle Clé d’accès sur le terrain. Malheureusement, il y avait une faille. Le site Web n’a pas bien fonctionné et les renseignements personnels de plusieurs Canadiens ont été affichés.   

Et bien sûr, chaque année, plusieurs ministères et organismes fédéraux déclarent le vol et la perte d’ordinateurs portatifs, de téléphones intelligents et de dispositifs de stockage portatifs qui contiennent des renseignements personnels sur les Canadiens. En raison de tels incidents, le Commissariat conseille aux organismes de rappeler à tous les employés qu’il est important de protéger les renseignements personnels des Canadiens. Par exemple, lorsqu’on apporte un ordinateur portatif à la maison, il ne faut pas le laisser dans la voiture ni dans un endroit où il peut être volé facilement. De plus, les données doivent toujours être protégées par chiffrement.

Lorsque survient une atteinte à la vie privée, les organismes du gouvernement fédéral sont tenus d’aviser toutes les personnes affectées. On devrait les informer des moyens dont elles disposent pour se protéger du vol d’identité et de leur droit de déposer une plainte en vertu de la Loi sur la protection des renseignements personnels. Les organismes fédéraux sont tenus de communiquer avec le Commissariat dans les plus brefs délais pour signaler toute atteinte à la vie privée. Les lignes directrices du Conseil du Trésor précisent qu’il faut informer le Commissariat dans les jours suivant l’atteinte. Quand un organisme nous informe d’une atteinte, nous étudions non seulement l’information qui nous est fournie, mais aussi les mesures correctives prises ou prévues. Nous offrons des conseils et nous n’entreprenons une vérification ou une enquête que si la situation l’exige.

L’obligation pour les organisations du secteur privé sous réglementation fédérale de signaler les atteintes à la vie privée est une des modifications que le Parlement envisage d’apporter à la LPRPDE dans le cadre du projet de loi C-29. Il va sans dire que nous appuyons sans réserve cette proposition.

Pour souligner l’importance de la cybersécurité dans le contexte des atteintes à la vie privée, mentionnons que nous avons embauché la firme Nymity pour qu’elle analyse les atteintes dans le secteur privé qui nous ont été signalées en 2008. Le rapport présenté a révélé que des systèmes de sécurité inadéquats ou absents étaient la cause du problème dans 46 % des cas.

Récentes enquêtes dans le secteur privé

Incident concernant la collecte involontaire par Google de données Wi-Fi sur des réseaux non sécurisés

Les systèmes de sécurité inadéquats ou inexistants qui étaient en cause lors de notre récente enquête sur la collecte de données par Google sur des réseaux sans fil n’étaient pas ceux des organisations, mais ceux des victimes.

Vous avez peut-être entendu parler de l’enquête que nous avons menée à la suite des trois plaintes que le Commissariat a déposées contre Google après avoir appris que les voitures de Google Street View avaient recueilli des données utiles transmises par des réseaux Wi-Fi non cryptés dans le cadre de la collecte de signaux Wi-Fi publics.

Parmi les renseignements personnels recueillis, on retrouve des courriels entiers, des adresses de courriel, des codes d’utilisateurs et des mots de passe, des noms ainsi que des adresses et numéros de téléphone résidentiels. Certains des renseignements saisis étaient de nature très délicate; par exemple une liste de noms de personnes atteintes de troubles médicaux avec leurs adresses et leurs numéros de téléphone.

C’est en raison d’un code particulier qui avait été intégré au logiciel utilisé pour capter les signaux Wi-Fi que Google a recueilli des renseignements personnels. Ce code avait été développé en 2006 par un ingénieur de Google qui s’était prévalu d’une politique de l’entreprise en vertu de laquelle les employés peuvent consacrer jusqu’à 20 % de leur temps à des projets qui les intéressent. L’ingénieur avait développé un code pour échantillonner toutes les catégories de données diffusées publiquement sur des réseaux Wi-Fi, et ce code comprenait des lignes visant à recueillir les « données utiles », qui font référence au contenu des communications.

Le code s’est retrouvé sur l’équipement des voitures de Google Street View quand l’entreprise a décidé de recueillir de l’information sur l’emplacement de signaux Wi-Fi publics afin d’alimenter sa base de données destinée aux services géodépendants.

Au moment où l’on a décidé d’utiliser le code en question, l’ingénieur qui l’avait conçu avait fait état de « répercussions superficielles sur la vie privée ». Ces répercussions n’ont jamais été évaluées par d’autres responsables de Google parce que l’ingénieur a omis de transmettre la documentation relative à la conception du code à l’avocat de Google responsable de l’examen des conséquences juridiques du projet Wi-Fi, ce qui va à l’encontre de la politique de l’organisation.

Mais cette politique n’était pas dûment accompagnée d’un mécanisme de contrôle de la conformité approprié. Nous avons formulé des recommandations précises à Google dans le sens d’un renforcement de sa gouvernance en matière d’évaluation de la protection des renseignements personnels. La plupart d’entre elles ont été mises en œuvre et nous sommes en train d’examiner si celles-ci respectent les normes canadiennes sur la protection de la vie privée.

TJX : la tempête du siècle

De nombreuses personnes qui rencontrent un employé du Commissariat pensent d’abord à certaines de nos enquêtes les plus récentes et publicisées concernant des géants en ligne comme Google et Facebook. Toutefois, un tournant décisif pour nous a été l’enquête menée sur l’atteinte à la protection des données chez TJX, une entreprise de vente au détail traditionnelle.

En janvier 2007, TJX et Visa ont informé le Commissariat et le commissaire à la protection de la vie privée de l’Alberta que le réseau informatique de TJX avait fait l’objet d’une intrusion touchant les renseignements personnels d’environ 45 millions d’utilisateurs de cartes de paiement au Canada, aux États-Unis, à Puerto Rico, au Royaume-Uni et en Irlande.

Il semble que les pirates ont réussi à pénétrer dans le système de TJX en piratant un réseau local sans fil à l'extérieur d’un magasin Marshall aux États-Unis. En utilisant une antenne télescopique sans fil, ils ont pu s’introduire dans la base de données de la société mère de TJX et accéder à l’information sur les paiements. Les voleurs ont capturé des données pendant plus d’un an et demi, jusqu'à ce que TJX apprenne enfin qu’un logiciel suspect avait été détecté dans une section de leur système informatique.

Le cas de TJX a démontré comment la combinaison de plusieurs facteurs pouvait occasionner la tempête du siècle :

  • TJX ne disposait d’aucune approche globale en matière de sécurité des données.
  • TJX recueillait plus de renseignements personnels que ce dont elle avait besoin et les conservait trop longtemps.
  • Les renseignements personnels n’étaient pas chiffrés.
  • Les voleurs ont pu accéder aux renseignements personnels par un réseau sans fil qui n’était pas bien sécurisé.

C’est ainsi que TJX a été victime d’une des plus importantes atteintes à la protection des données jamais vues.

Un autre point intéressant qui peut être tiré de l’incident de TJX est que les pirates ne cherchaient ni à démontrer leurs compétences exceptionnelles en programmation ni à se vanter d’avoir réussi à s'introduire dans le réseau informatique du géant de la vente au détail. Ils voulaient obtenir les renseignements personnels des clients. Le crime suit le commerce peu importe où il se trouve et peu importe la technologie ou la plateforme utilisées.

Willie Sutton aurait dit : « Pourquoi je vole des banques? Parce que c’est là que se trouve l’argent. » De nos jours, les codes d’accès permettant de mettre la main sur l’argent des consommateurs transitent sur vos réseaux. C’est donc vers ces réseaux que se tournent les malfaiteurs. Le piratage est devenu très ciblé puisque le lien a désormais été établi à partir du programme malveillant jusqu’à votre compte bancaire.

Et c’est là que le lien entre la protection de la vie privée et la sécurité est le plus évident. Quand nous protégeons le cyberespace, c’est-à-dire l’information qu’il contient et l’infrastructure dont il dépend, nous protégeons les renseignements personnels. La violation de la vie privée dans le but d’assurer la cybersécurité irait à l’encontre de l’objectif de la cybersécurité. C’est pourquoi le Commissariat insiste depuis des années sur la cybersécurité, les normes en matière de sécurité de l’information et les modèles de protection des données dans ses produits destinés à la sensibilisation du public.

Conclusion

C’est avec plaisir que nous avons assisté en octobre dernier au lancement de la Stratégie de cybersécurité du Canada. Au cours des dernières années, le Commissariat a recommandé l’adoption d’une stratégie coordonnée sur la cybersécurité et a plaidé en faveur d’une loi antipourriel, d’un effort national concernant le vol d’identité et du signalement obligatoire des atteintes à la sécurité des données.

En ce qui a trait aux mesures antipourriel, la nouvelle loi (C-28), en plus de prévoir un cadre de travail pour contrer les menaces à la cybersécurité, octroie au Commissariat le droit de collaborer avec d’autres autorités réglementaires.

Il est important de noter que, si le Commissariat et neuf homologues de la scène internationale ont décidé d’écrire une lettre conjointe à Google pour faire part de nos préoccupations à l’égard de Google Buzz, c’était en partie à cause du caractère immédiat et du grand rayonnement d’une telle mesure; mais c’était également à cause du caractère extrêmement limité, avant l’entrée en vigueur de la loi antipourriel, de notre capacité de collaboration avec les gouvernements étrangers.

Nous serons désormais en mesure de nous attaquer au défi de la protection de la vie privée dans le cyberespace, qui ne peut être circonscrite en fonction des frontières territoriales ou des champs des compétences des organisations. La collaboration, par conséquent, revêt un caractère essentiel pour faire face aux enjeux liés à la cybersécurité, qui traversent les frontières et les organisations.

En ce qui a trait à la Stratégie nationale de cybersécurité, nos efforts convergent vers l’appui que nous voulons apporter à son troisième grand axe : l’éducation du public. L’incident de cyberespionnage qui a touché le ministère des Finances, Recherche et développement pour la défense et le Secrétariat du Conseil du Trésor la semaine dernière illustre, à mon avis, l’importance de ce troisième pilier, qui est de faire en sorte que les Canadiens puissent naviguer en toute sécurité dans le cyberespace.

Pour paraphraser le reportage présenté à la CBC, l’attaque par hameçonnage ciblé était d’une simplicité mortelle et d’une terrible efficacité : il suffisait qu’une personne ouvre une pièce jointe à un courriel. C’est la raison pour laquelle le Commissariat a travaillé avec autant d’insistance sur l’autonomisation du public, et ce à l’aide de différentes démarches pédagogiques : les campagnes d’information, les activités de sensibilisation dans les écoles et les entreprises du secteur privé, les concours de vidéos, les événements de conscientisation tels que le message des Fêtes (qui portait cette année sur la vulnérabilité des applications) et la Journée de la protection des données, pour ne nommer que celles-ci.

Le troisième pilier de la Stratégie de cybersécurité du Canada — Aider les Canadiens à se protéger en ligne — fait état de notre engagement continu de longue date envers l’éducation et la sensibilisation du public. À ce titre, nous sommes heureux d’appuyer la Stratégie par nos efforts constants.

Date de modification :