Protection des données personnelles

Concevoir de meilleurs systèmes de sécurité : mission possible?

Professeur en génie logiciel depuis plus de 20 ans à l'UdeS, Marc Frappier a fait de la sécurité informatique sa spécialité.
Professeur en génie logiciel depuis plus de 20 ans à l'UdeS, Marc Frappier a fait de la sécurité informatique sa spécialité.
Photo : Michel Caron - UdeS

La multiplication des cas de fuites de renseignements personnels rapportés par nombre de grandes firmes et entreprises depuis les dernières années met en lumière les failles des systèmes de sécurité existants. Face à ce fléau appelé à prendre de l’ampleur, comment garantir une meilleure protection des données?

La sécurité informatique, c’est la spécialité du professeur en génie logiciel Marc Frappier, du Département d’informatique de la Faculté des sciences de l’UdeS, dont les intérêts de recherche portent sur les méthodes formelles de développement de logiciels (spécification, conception, raffinement, validation et vérification). Il travaille d'ailleurs actuellement sur le développement de méthodes et d’outils pour la construction de logiciels plus sûrs. Entretien avec ce spécialiste, à l’occasion de la Journée internationale de protection des données personnelles, qui se tient annuellement le 28 janvier.

Q. Pouvez-vous définir en quelques mots ce qu’est la sécurité de l’information?

R. Essentiellement, c’est de s’assurer de garder privé ce que l’on souhaite qui le soit. C’est de s’assurer que l’intégrité de ses données est préservée, que l’on ne peut pas modifier ses informations ni usurper son identité.

Q. Pourquoi devrions-nous davantage nous intéresser à la sécurité de l’information en tant qu’individus?

R. La plupart des problèmes de sécurité, ce sont souvent des erreurs humaines. Les gens ne sont pas toujours conscients des techniques typiques d’hameçonnage. Ils mettent parfois trop d’information disponible sur plusieurs plateformes, et quelqu’un qui s’y connaît peut construire un profil à partir de ces informations-là, et utiliser des techniques pour faire des fraudes au niveau bancaire ou financier. Donc, il faut que les gens développent l’habitude d’en dire moins sur eux et d’être plus prudents lorsqu’ils naviguent sur des sites. Ils doivent être plus suspicieux, ne pas faire confiance à tout ce qu’il leur arrive par Internet, par téléphone, par texto. Il y a plusieurs bons sites d’information. Il faut s’informer et s’intéresser au sujet, parce que les conséquences sont importantes, particulièrement si on est victime d’un vol d’identité.

Q. Pourquoi avoir développé un intérêt pour la sécurité de l’information?

R. C’est un domaine dans lequel il y avait beaucoup d’opportunités d’améliorer les façons de faire. Les techniques actuelles sont peu développées, donc un peu moins puissantes en termes d’analyse ou d’automatisation des processus. Ça m’a amené à réaliser qu’on pouvait faire progresser ce domaine-là plus rapidement avec ces techniques-là.

Q. En quoi consistent vos recherches sur le sujet?

R. Je travaille au niveau des méthodes de conception de systèmes qui se fondent sur les mathématiques. Avec les mathématiques, on peut faire des preuves, des analyses plus poussées des logiciels qu’on développe, et ça nous permet d’atteindre un plus haut degré de fiabilité. La sécurité est essentiellement un problème de génie logiciel. Actuellement, les outils de sécurité sont assez rudimentaires, pas très sophistiqués. Il importe de construire des systèmes qui soient fiables et sécuritaires, qui reposent sur des mesures de conception avancées et puissantes. Les approches que l’on utilise en génie logiciel pour spécifier des systèmes peuvent aussi être utilisées en sécurité pour spécifier des règles de sécurité, des règles de contrôle d’accès, des règles de détection d’intrusion, de reconnaissance de comportement anormal, etc.

Q. Quels sont les objectifs plus spécifiques visés?

R. De manière simplifiée, l’objectif est de construire des systèmes sans bogues, de chercher à les éviter et d’être capable de les détecter. Plus un bogue est détecté tôt dans le cycle de vie, moins il coûtera cher à corriger. Une façon de faire pour éviter les bogues, par exemple, c’est de décrire des spécifications plus précises, plus détaillées, que l’on peut valider. Les langages de spécification permettent aussi de générer des tests de robustesse et de pénétration pour évaluer des systèmes existants. Si on ne veut pas faire des analyses du code source, on peut au moins générer des analyses pour s’assurer que les systèmes répondent bien aux différents contextes. Le but est d’augmenter le degré de fiabilité des systèmes, en prenant de meilleures techniques de modélisation des spécifications, des techniques avancées pour en faire la construction.

Q. Qu’est-ce qui sera à observer au cours des prochaines années, sur le plan de la sécurité de l’information?

R. Des fuites de données comme celles qui sont arrivées récemment, ça va arriver encore. On ne peut pas présumer que ça n’arrivera plus. Il faut s’assurer que ça soit plus difficile pour une personne de voler l’identité de quelqu’un. Je souhaite voir une réforme des lois qui concernent la protection de l’identité auprès des institutions financières, une amélioration du processus. Je pense que le simple fait d’avoir un numéro d’assurance sociale, une adresse et un numéro de téléphone, ça ne devrait pas suffire pour ouvrir un compte, demander un prêt, obtenir une carte de crédit. L’identité numérique est un sujet d’actualité, et j’espère que le gouvernement va améliorer les lois pour rendre la fraude plus difficile.