SÉCURITÉ INFORMATIQUE En ouvrant ma boîte aux lettres, je trouve une facture émise par un service de messagerie bien connu, qui me réclame près de mille dollars. Jolie somme. D’autant plus que je n’ai jamais fait affaire avec cette entreprise, que je m’empresse de contacter. Il y a sûrement erreur.
Non, me répond-on. On m’énumère alors une longue série d’envois faits en mon nom. Et l’adresse est bel et bien la mienne. Je dois bientôt me rendre à l’évidence : on a utilisé mes coordonnées pour ouvrir un compte auprès de cette entreprise; j’ai été victime d’une usurpation d’identité.
Comment a-t-on pu mettre la main sur mes renseignements personnels? Une hypothèse me vient immédiatement à l’esprit : mon ordinateur. Plus que fâcheuse, la situation pourrait être embarrassante. Après tout, ne suis-je pas spécialiste de la sécurité de l’information depuis plus de dix ans?
Un peu de recul et de réflexion m’ont toutefois permis de tirer quelques conclusions de cet incident. Si je n’ai toujours pu déterminer précisément où mon identité a été volée, je sais qu’en dépit de toutes les précautions du monde, personne n’est à l’abri de ce méfait. Ce qui n’empêche pas de prendre des mesures pour se protéger et réduire le risque.
Première règle : ne jamais laisser de renseignements personnels, ni d’informations confidentielles sur son ordinateur. On doit ainsi veiller à en retirer les documents comme les déclarations de revenus ou les formulaires contenant des données tel le numéro d’assurance sociale. Mieux vaut les sauvegarder sur un cédérom ou un DVD que l’on conservera sous clef. L’utilisateur qui doit absolument garder ces informations dans son ordinateur sera avisé de faire appel au chiffrement.
Avant d’être envoyés au rebut, les documents papier et les disques à risque doivent être rendus illisibles, à l’aide d’une déchiqueteuse, par exemple. Il convient également de faire bien attention à son portefeuille, et de ne jamais le laisser dans sa voiture, ni sur son bureau.
Il faut savoir aussi que les données supprimées laissent des traces dans les fichiers. Des logiciels existent pour les faire disparaître, par exemple les programmes Remove Hidden Data de Microsoft et Document Detective. Ces traces, que l’on appelle métadonnées, devraient être éliminées.
Il appartient aux entreprises d’assumer une part des responsabilités liées à la sécurité de l’information. Elles détiennent souvent nos renseignements personnels, sans prendre toutes les précautions pour ne pas les divulguer abusivement. Toutes les organisations sont soumises à une réglementation en cette matière, notamment à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Dans la mesure du possible, on ne traitera qu’avec les entreprises en qui l’on a pleine confiance. La prudence est de mise en toutes circonstances, car une organisation ne s’associe pas nécessairement à des partenaires aussi bien organisés ou aussi intègres qu’elle.
Pour s’assurer de l’exactitude des renseignements que détiennent les agences de crédit Equifax et TransUnion, par ailleurs, il est recommandé de leur demander chaque année un rapport sur son dossier personnel. Toute personne peut également exiger de ces entreprises qu’elles ne divulguent pas ses renseignements personnels sans l’avoir consultée.
Ces mesures élémentaires n’immunisent pas contre l’usurpation d’identité, mais fournissent néanmoins une protection non négligeable. Si par malheur une personne est victime de ce fléau, il est primordial qu’elle ouvre rapidement un dossier auprès de la police, ce qui peut aider à démontrer sa bonne foi. Dans le cas où les réclamations faites à la victime proviendraient d’un pays étranger dans lequel elle doit se rendre – pour une raison ou pour une autre – il serait prudent de sa part de se munir d’une lettre expliquant la situation, signée par les autorités compétentes de son propre pays.
La sécurité de l’information est l’affaire de tous. Au fur et à mesure que progressera la sensibilisation à ce sujet, la prévention s’améliorera et la fréquence des incidents diminuera.