Nouvelles et opinions de la communauté de sécurité informatique
14 June 2021
La banalisation des risques dans une chronique sur le coût des programmes de fidélisation publiée dans La Presse a fait réagir des membres de la communauté de cybersécurité. « J’ai trouvé que c’était un super bon article, jusqu’à ce que j’arrive à cette section-là », affirme en entrevue Alexis Dorais-Joncas, directeur du centre de R & D de ESET Montréal. « J’ai appris plein de choses », ajoute-t-il. Par contre, il trouve dommage qu’on n’ait pas profité de cette occasion pour rappeler aux consommateurs que si « vous acceptez de confier vos données personnelles, faites-le en toute connaissance de cause ».
Pour ce responsable d’une équipe de chercheurs en cybersécurité, il est faux de dire que le risque est le même parce que ces données sont déjà détenues par une autre entité, comme la banque. « Les risques s’additionnent », explique-t-il, « plus nos données personnelles sont possédées par un grand nombre de partis, plus les chances sont grandes que l’une d’entre elles soit l’objet d’une fuite ».
Comme ces programmes offrent des récompenses, M. Dorais-Joncas ajoute que le vol de ceux-ci n’a pas seulement un impact sur la perte de données, mais peut impliquer une perte monétaire. La perte associée avec le vol d’un compte peut sembler minime pour un utilisateur, mais si un fraudeur met la main sur un grand nombre de ceux-ci, cela représente des sommes beaucoup plus importantes.
Le troisième impact noté vient du fait que certains programmes de fidélisation sont associés avec un mode de paiement. M. Dorais-Joncas a d’ailleurs investigué un cas de fraude utilisant l’application mobile de McDonald en 2019. Un journaliste avait rapporté avoir été fraudé de 2000 $ lorsque quelqu’un s’était approprié son compte de fidélisation. Selon le spécialiste en cybersécurité, « la sécurité était complètement déficiente. [ … ] On pouvait tester des milliers de combinaisons de nom d’utilisateur et mot de passe en quelques minutes. » De plus, une fois qu’un compte valide était volé, l’application n’avait aucune mesure antifraude et plusieurs transactions avaient été enregistrées au même moment à plusieurs endroits dans la province sans que cela soit rapporté.
Pour Alexis Dorais-Joncas, il faut se demander si l’on retire un réel bénéfice du programme. Il suggère de se poser la question « est-ce que je suis prêt à confier mes données personnelles à cette entreprise en échange de ce qu’elle m’offre ? » Deuxièment, il suggère de lire les politiques d’utilisation et de protection de la vie privée. Il admet que ce n’est pas toujours évident, car ces politiques ne sont pas faciles à comprendre, mais « cela en dit long sur l’utilisation qui va être faite de nos données ».
Idéalement, on devrait minimiser la portée et le nombre de programmes auxquels on adhère. Il est donc préférable de ne s’abonner qu’aux programmes qui nous intéressent réellement.
Une fois que l’on décide de s’inscrire à un programme de fidélisation, il suggère de ne jamais réutiliser de mot de passe. « On a tendance à croire que l’on n’a pas besoin d’autant de sécurité que pour notre compte de banque », mais une fois qu’on a pris l’habitude d’utiliser un gestionnaire de mot de passe, « ce n’est pas plus forçant de créer un bon mot de passe unique pour tous ses comptes. »
Les programmes de fidélité offrent des avantages, mais ils ne sont pas sans risque. Il est donc important que la décision de confier ses données personnelles ne soit pas prise à la légère.
Le projet de Loi 64 doit venir encadrer la collecte, la protection et l’utilisation de ces données personnelles. L’adoption de celui-ci a pris du retard avec l’annonce récente par le gouvernement de suspendre son étude.
crédit photo: Four Bricks Tall - licence CC BY-NC-ND