Aller au contenu
11 octobre 2022 Sabine Gauthier

Fuites de données

Quand petite inattention devient tsunami

Photo : Michel Caron UdeS

Assis devant son écran, tout en parlant au téléphone, Jérôme vient d’ouvrir une pièce jointe dans un courriel d’un expéditeur inconnu. En terminant son appel, il se rend compte avec stupéfaction qu’il a peut-être ouvert une pièce malicieuse et compromis ainsi la sécurité de son ordinateur, peut-être celle du serveur de son équipe de travail, de son employeur, ceux des partenaires d’affaires et des clients...

Jérôme a vraiment honte de son geste d’inattention. Il éteint son ordinateur. Au désespoir, il téléphone à sa conjointe.

Pendant ce temps, le mal s’installe, s’infiltre dans tout le système de l’entreprise… et de ses partenaires et clients qui partagent des données sur des serveurs communs. Jérôme ne sait pas comment sortir incognito de cette maladresse, cherche des réponses avec sa conjointe.

Le temps passe, les dégâts sont maintenant énormes et touchent des milliers d’employés, et toutes les activités de son employeur et d’autres entreprises. Tout est maintenant bloqué, et une rançon pharaonique est exigée pour retrouver l’accès… sans aucune garantie de succès et de sécurité.

Zut… quelle gaffe!

Un geste aussi anodin qu’un clic peut, en 2022, entraîner des répercussions gigantesques, comme un tsunami destructeur qui déferle sur un continent de données personnelles et organisationnelles. Des activités qui s’arrêtent, des vies bousculées, des identités volées, des pertes énormes d’argent, de données, de renseignements, de secrets industriels, etc.

Avec toutes ces conséquences, comment se fait-il qu’autant d’erreurs d’inattention soient encore à l’origine de ces désastres? Nous avons demandé à deux spécialistes du Groupe de recherche interdisciplinaire en cybersécurité (GRIC) de nous éclairer un peu.

Professeur Pierre-Martin Tardif
Professeur Pierre-Martin Tardif
Photo : Michel Caron - UdeS

« Chacune et chacun d’entre nous peut commettre des erreurs, c’est humain. Une erreur d’inattention peut amener des conséquences fâcheuses qui dépassent notre entendement. Notre premier réflexe doit donc être de déclarer tout incident à qui de droit et de chercher rapidement de l’aide technique. Le réconfort viendra plus tard! », explique Pierre-Martin Tardif, membre du GRIC et professeur à l’École de gestion.

Le professeur Tardif rappelle de ne pas se laisser confondre si « rien ne se passe » dans notre ordinateur. C’est justement le but de l’attaquant de passer inaperçu en utilisant une approche inédite ou en camouflant son intention.

Professeure Manon Ghislaine Guillemette
Professeure Manon Ghislaine Guillemette
Photo : Michel Caron - UdeS

Pour Manon Ghislaine Guillemette, membre du GRIC et professeure à l’École de gestion, il est important aussi que les personnes comme Jérôme se sentent en confiance pour déclarer leur geste malheureux. « Les organisations doivent instaurer une culture d’ouverture. En effet, si vous risquez une suspension ou une sanction importante, divulgueriez-vous votre geste? Probablement pas. Il vaut mieux sanctionner le fait de ne pas avoir divulgué le geste qui a mené à l’incident. Les mesures doivent donc favoriser l’ouverture et la collaboration. Des procédures claires et simples doivent être mises en place et être connues de toutes et tous. »

Chaque porte en ouvre dix autres qui en ouvrent dix autres qui en ouvrent…

Vous avez ouvert la porte de votre appartement à un inconnu… et il vole les clés de votre auto, et celles de votre bureau où est consignée l’information pour accéder au coffre-fort de votre employeur, qui contient les clés de 120 succursales et toute l’information pour ouvrir les coffres-forts des clients et des partenaires.

Lorsque la sécurité des données d’une personne est menacée, ce sont aussi toutes ses relations personnelles et professionnelles qui le sont de façon exponentielle. Comme si vous aviez remis les clés de portes que vous n’êtes même pas autorisé à ouvrir vous-même.

Pierre-Martin Tardif nous conseille de faire un peu de ménage. « Votre boîte de courriel de l’Université de Sherbrooke peut contenir des photos d’amis, des demandes d’étudiantes et d’étudiants, des commentaires sur d’autres personnes, etc.  Bref, votre boîte de courriel peut être riche en renseignements personnels sur vous et sur d’autres. Les bonnes pratiques demandent de minimiser ces informations au strict nécessaire. Avez-vous fait le ménage dernièrement? Avez-vous besoin de tous ces courriels? »

Il en est de même pour les dossiers, qu’ils soient sur un ordinateur local, une clé USB ou dans l’infonuagique (ex. OneDrive, Google Drive). « Conservez-vous ces informations dans des endroits conformes et protégés? Connaissez-vous vos obligations? Entrée en vigueur en septembre dernier, la Loi 25 force toute organisation québécoise à porter une attention particulière aux renseignements personnels, qu’ils soient de nature administrative, d’enseignement ou de recherche », ajoute le professeur Tardif.

Conformément à la nouvelle Loi 25 qui modifie des dispositions législatives en matière de protection de la vie privée, depuis le 22 septembre, toute personne faisant partie de la communauté universitaire de l'UdeS a l’obligation de signaler les incidents de confidentialité impliquant un renseignement personnel.

La saga des mots de passe

Joannie ne se souvient jamais de ses mots de passe. Normal, ils sont tous enregistrés dans ses navigateurs; elle n’a pas besoin de les taper pour que tous ses comptes s’ouvrent comme par magie. Mais lorsqu’un individu malveillant réussit à accéder à sa session de travail, il a accès comme par magie aussi à toute sa vie personnelle et professionnelle.

Sylvain, lui, oubliait toujours ses mots de passe. Il a réglé le problème en n’utilisant qu’un seul bon mot de passe pour tous ses comptes. Impossible à deviner. Depuis, finis les tracas. Dernièrement, lorsqu’un de ses comptes a subi une fuite de données, tous ses autres comptes ont été exposés. Bonjour les tracas.

En 2022, avec notre vie numérique en croissance, comment réussir à gérer des dizaines de mots de passe sans le recours au remplissage automatique ou à un seul mot de passe pour toutes ses activités?

« La réutilisation d’un même mot de passe est un risque qui deviendra peut-être votre problème bientôt », nous met en garde le professeur Tardif en rappelant qu’une telle pratique donne à la personne qui usurpe votre identité l’accès, sans effort, à tous les comptes qui réutilisent ce même mot de passe. « Il faut éviter ceci à tout prix. Un gestionnaire de mots de passe est un bon moyen de les diversifier, j’en ai plus de 1000 différents dans 1Password! Il m’avertit si je réutilise un mot de passe, s’il risque d’avoir été compromis, et il me donne un score d’appréciation sur la complexité de chaque mot de passe en fonction des meilleures pratiques actuelles. Que dire de plus? »

Comprendre comment fonctionne le décryptage d’un bon mot de passe peut aider à en choisir de meilleurs, selon la professeure Guillemette. « Plus un mot de passe est long, plus il est difficile à trouver. Facile, n’est-ce pas? En fait, pas tout à fait. La majorité des mots de passe ne sont pas décodés par des malfaiteurs, mais simplement volés par hameçonnage. Encore ici, la faille principale n’est pas technologique, mais humaine. Pour vos mots de passe, choisissez de courtes phrases, par exemple, remplacez quelques lettres par des symboles, et le tour est joué. »

Même avec de bons mots de passe, tous différents, il faut rester vigilant, insiste la professeure : « Vérifiez la véracité des courriels. Contactez les organismes qui vous demandent d'apporter des changements à vos renseignements personnels. Ne cliquez jamais sur les liens fournis dans les courriels. Faites preuve de prudence, méfiance et prévoyance! Et si jamais vos mots de passe sont tout de même volés, ayez sous la main des copies de sécurité à jour de vos données. Ainsi, vous pourrez au moins réduire les dégâts. En cybersécurité, c’est la prévoyance avant tout », ajoute-t-elle.

Informations complémentaires