Il est de plus en plus courant d’entendre parler, dans les médias ou ailleurs, de vol d’identité. Si le concept n’est pas nouveau, l’apport des nouvelles technologies – et particulièrement d’Internet – apport un nouveau souffle à l’expression. Si c’est le cas, c’est avant tout pour deux raisons : Internet et les services de vente en ligne, de casinos en tout genre de même que les services bancaires informatisés et les sociétés de transferts de fonds virtuelles sont un véritable terrain de jeu pour quelconque criminel devant composer avec des informations subtilisées et un irrésistible besoins de s’en servir. Mais il y a aussi, et c’est ce qui nous intéresse, le « facteur d’éparpillement » des données confidentielles qui est arrivé avec le web.

Forums en tout genre, webmails, comptes de messagerie instantanée, compte bancaire, services de promotions non sollicités, inscriptions de toutes sortes, paypal, etc., tous partageant trop souvent les mêmes informations de connexion. Si les utilisateurs commettent aisément ce genre d’erreurs (en bref utiliser un seul (ou même deux) mot de passe un peu partout), les entreprises et gestionnaires d’abonnement ne sont pas à l’abri des imprudences non plus.

Les médias relayaient à coup de grandes manchettes spectaculaires ce matin un incident rapporté par la banque CIBC au Canada : 470 000 dossiers bancaires (incluant possiblement numéros d’assurance sociale (sécu), signature, numéro de compte bancaire, nom et adresse) égarés lors d’un transfert de Montréal à Toronto. Si l’incident est spectaculaire, il a le mérite d’être déclaré publiquement, ce qui n’est probablement pas le cas de la très grande majorité des pertes de renseignements confidentiels. Parce que non, ce ne sont pas les grandes banques et gouvernement qui sont le plus à blâmer dans ce genre de situations (les incidents étant plutôt rares et fortement médiatisés) mais plutôt les entreprises non-réputées pour nécessiter une « aura de sécurité ».

Personne n’ignore l’importance de la confidentialité de ses informations bancaires. Personne ne crie sur les toits son numéro de compte de banque. Cependant, rares sont ceux et celles qui réfléchissent longuement avant de daigner donner informations nominatives au premier formulaire venu sur Internet. Et pourtant. Nombre de gestionnaires de site ne se préoccupent pas tellement de la sécurité de leurs bases de données. La paranoïa des transactions sécurisées par SSL n’a aucun intérêt lorsque le mot de passe de la base SQL est composé de quelques caractères enfantins à décrypter par le premier hacker du dimanche venu. Et, étonnamment, un nombre effrayant d’entreprises commerciales gèrent ce genre de bases de façon excessivement laxiste, donnant tous les privilèges à l’ensemble du personnel (voir même l’ensemble des postes du réseau) quant à l’affichage de ces renseignements pourtant sensibles.

La vague des vols d’identités n’a pas fini de faire parler d’elle. Et la faute incombe autant aux pratiques de très nombreux site Internet / commerces en ligne que celles des internautes peu soucieux. Dans tous les cas, la cause reste et demeure une ignorance flagrante.