Notre pire ennemi, c’est nous

Publié le 03 octobre 2014 par _nicolas @BranchezVous
Exclusif

On ne le dira jamais assez : l’insouciance est une menace aussi sévère pour notre sécurité en ligne que les pirates informatiques. En voici la preuve, deux fois plutôt qu’une.

«À chaque jour suffit sa brèche de sécurité», dira un jour le proverbe.

Un matin, c’est une énorme faille dans le code source d’un module utilisé par la moitié de la planète, comme Heartbleed et Shellshock. Le lendemain, c’est un détaillant qui commet une bêtise avec les numéros de cartes de crédit de 27 millions de ses clients. Et le surlendemain, comme vous l’apprenait récemment l’ami Benoît Gagnon, c’est un pirate notoire qui se lance en «affaires» comme courtier en crosses. De quoi se mettre à regretter l’époque où on échangeait les données avec des pigeons voyageurs.

Mais si les problèmes de sécurité sont nombreux, on n’est quand même pas obligés de courir après. Or, deux expériences récentes démontrent qu’en matière de «course après», nous sommes des champions.

Votre premier-né pour du Wi-Fi gratuit

Comment aurait-on pu savoir que c’était un piège? Peut-être en lisant le contrat d’utilisation, qui stipulait que chaque utilisateur s’engageait à céder l’aîné de ses enfants à la compagnie sur demande.

Histoire de promouvoir ses services, la compagnie de sécurité informatique F-Secure a récemment installé un point d’accès Wi-Fi gratuit dans un centre commercial de Londres. «Bonne affaire», se sont dits de nombreux clients, qui se sont connectés au point d’accès sans se poser plus de questions.

Résultat : en une demi-heure, les internautes ont gentiment fourni à F-Secure quelque 32 Mo de mots de passe et de messages personnels. Des données que la compagnie affirme avoir détruits, après s’être servie de l’expérience pour démontrer l’importance de sa technologie pour protéger les clients trop naïfs contre eux-mêmes.

Comment les clients auraient-ils pu savoir que le point d’accès Wi-Fi gratuit qui leur était soudainement offert était un piège? Peut-être en lisant le contrat d’utilisation dudit point d’accès, qui stipulait que chaque utilisateur s’engageait à céder l’aîné de ses enfants à la compagnie sur demande. (En cas de pénurie d’enfants, on pouvait également payer avec son chien ou son chat.)

On ne peut qu’espérer que la majorité des clients n’ont pas lu ce contrat, et que rares sont ceux qui l’ont fait et qui se sont dits : «Mouais, c’est un échange équitable.»

Jacquot veut un biscuit?

L’expérience de F-Secure démontre qu’il est très facile d’exploiter le comportement typique des internautes pour leur cacher des choses. L’artiste Risa Puno, elle, a prouvé qu’on pouvait extraire de l’information personnelle sans même se donner la peine de cacher quoi que ce soit.

Avez-vous une fringale? (Photo : Talisman Brolin)

Lors d’un festival qui a récemment eu lieu à New York, Puno offrait aux visiteurs des biscuits à l’effigie de Facebook, Twitter et Instagram en échange de leurs adresses (vérifiées en examinant leurs permis de conduire), de leurs numéros de téléphones ou des noms de jeunes filles de leurs mères. Sur 380 visiteurs, 162 sont mêmes allés jusqu’à lui révéler les quatre derniers chiffres de leurs numéros d’assurance sociale, et 117 ont laissé Puno prendre leurs empreintes digitales. Quand les visiteurs lui demandaient ce qu’elle ferait avec cette information, Puno ne disait rien et pointait vers son «contrat de service», une page de charabia d’avocat qui spécifiait notamment que toute l’information personnelle qu’elle recueillait pouvait être affichée en public n’importe où, n’importe quand.

J’espère que les biscuits étaient bons.

Parce que, selon la journaliste de Pro Publica qui a couvert l’expérience, Puno ne sait pas encore si elle détruira les formulaires ou si elle les conservera pour toujours – ou jusqu’à ce qu’un voleur s’en empare.