Archives de catégorie : Affaires & Entreprises

Codes 2FA par texto: l’illusion de la sécurité renforcée?

Publié le par

Bien que la technologie d’authentification à deux facteurs («2FA», dans le jargon) s’avère une excellente façon de blinder et sécuriser nos comptes d’accès à des applis et des services en ligne, la réalité demeure que la chaine n’est aussi solide que son maillon le plus faible. Dans le cas de 2FA, un article récent trouvé sur TechRepulic soulignait qu’une pratique laxiste de plusieurs organisations (dont des banques!) nous donne parfois l’illusion de sécurité en configurant mal ce dispositif.

Le problème dont on parle ici c’est le fait que certaines entreprises permettent aux usagers de recevoir leurs codes 2FA par textos (SMS), par opposition à les recevoir directement par l’entremise d’utilitaires logiciels de génération de code 2FA, tel Google Authentificator. En pratique, la vaste majorité des cas où une intrusion se produit (malgré l’activation et l’utilisation de 2FA sur un compte visé), c’est parce qu’on permettait la communication des codes 2FA par SMS. L’inverse se produit, mais cela demeure très marginal.

Pour ceux et celles qui ne le font pas encore, sachez que tous vos comptes qui le permettent (encore plus au travail) devraient être configurés par vous afin d’utiliser une seconde méthode d’authentification, par un dispositif de style 2FA. Dans le monde d’aujourd’hui, ne pas le faire s’avère ni plus ni moins qu’une faute, dont le coup pourrait être l’exposition de vos données ou de celles de vos clients en cas de hack (intrusion informatique, etc.).

En fait, tous les experts en cybersécurité s’entendent pour dire que permettre la transmission de codes 2FA par SMS rend ce genre de système beaucoup plus faible, au point où on recommande dorénavant de complètement retirer cette fonctionnalité des systèmes d’authentification. Dans la mesure où la législation requiert dorénavant se déployer des moyens raisonnables afin de sécurisé les données qu’on détient pour/sur autrui, on arrive rapidement à un point où utiliser une appli ou un service transmettant des codes 2FA par texto pourrait aussi être vu comme de la négligence. Oui, vraiment.

Le hic de ce côté, c’est que nombre d’entreprise, continuent encore de configurer leurs systèmes, pour permettre aux utilisateurs qui le désirent, d’éviter devoir utiliser une application telle Google Authentificator, en se tournant plutôt vers des textos par l’entremise desquels les codes peuvent leur être transmis. En le permettant, ces organisations bernent en quelque sorte leurs usagers, en leur permettant de croire que leur compte est blindé.

Et vous, vos applis et services en ligne permettent-ils encore de vous envoyer vos code 2FA par textos? Si oui, vos comptes en question ne sont pas aussi sécures que vous pouviez le croire -désolé. Si c’est crucial pour votre organisation ou implique l’accès aux données d’autrui, vous voulez peut-être reconsidérer l’utilisation des applis ou des services en question. Alternativement, bon à savoir que plusieurs applis/services permettent dorénavant de désactiver cette combinaison 2FA/SMS, ce que tout usager soucieux de voir à la sécurité de ses données devrait définitivement faire.

Tout connecté, tout par abonnement: le bonheur du contrôle continu par les fabricants

Publié le par

Les médias rapportent récemment plusieurs affaires qui donnent à réfléchir, particulièrement quant à la tendance du marché de tout rendre disponible par abonnement, par des appareils de plus en plus connectés et susceptibles de contrôle à distance.

La première histoire, c’est celle dont parle cet article au sujet d’une nouvelle tendance de certains constructeurs automobiles (dont BMW) qui ont réalisé que, tant qu’à avoir des voitures connectées, pourquoi ne pas activer ou désactiver certaines fonctionnalités, selon que le propriétaire de la voiture paie ou non un frais mensuel pour telle ou telle fonctionnalité. Cet article cite donc l’exemple de BMW, en Corée du sud, qui permet l’utilisation des certaines fonctionnalités (sièges chauffants ou volant chauffant) si le propriétaire du véhicule paie un frais d’abonnement mensuel -à défaut, on désactive la fonctionnalité.

Oui, vous lisez bien, vous achetez la voiture mais PAS toutes les fonctionnalités (bien que les pièces fassent partie du véhicule), certaines ne seront en réalité disponibles pour usage que si vous payez un abonnement additionnel. C’est un peu comme le modèle du service de radio Sirius™ mais, cette fois, par rapport à du matériel existant qu’on active ou désactive, selon le cas. Je ne sais pas pour vous, mais personnellement, je trouve qu’il y a quelque chose là-dedans de dérangeant.

La seconde histoire dont je veux vous parler sur ce thème provient de cet article et touche cette fois des tracteurs de marque JOHN DEERE, volés par les forces Russes en Ukraine puis rendus inopérants à distance. Le concept est similaire à celui des sièges chauffants de BMW, mais ici le manufacturier a carrément désactivé les tracteurs au complet, quand il a été informé du vol d’un lot de ces machines. Résultat: les Russes ont mis le grappin sur plusieurs millions de dollars d’équipement de ferme rendu, depuis, totalement inutile.

Celle-là illustre qu’il peut certes y avoir du bon dans cette capacité à tout contrôler à distance, bien qu’il n’est pas très difficile de concevoir des usages plus néfastes et/ou abusifs de ce genre de capacités techniques.

La troisième histoire du genre qui m’a frappé cette semaine, c’est celle-ci issue d’un article révélant qu’une société du groupe Amazon a avoué parfois transmettre aux forces de l’ordre des images tirées de caméras RING installées chez des consommateurs, sans leur permission. Eh oui, tant qu’à contrôler un parc de caméras, pourquoi ne pas en faire profiter les policiers, de dire essentiellement la filiale d’Amazon, étant entendu que c’est pour le bien commun et, donc, qu’on ne devrait pas faire tout un plat de l’absence de mandat ou de consentement des propriétaires d’appareils. Vraiment? Oui, vraiment.

Comme vous pouvez le voir, il se dessine une tendance à mettre en marché puis laisser le public et les entreprises utiliser des appareils et des machines connectés, dont le contrôle réel réside de plus en plus ailleurs que dans les mains de l’acheteur ou de l’utilisateur. Avec l’adoption généralisée du modèle d’abonnement joint au tout connecté, la chose devient non-seulement viable mais aisée à faire. Pendant ce temps, nous, les utilisateurs peuvent très bien ne pas soupçonner que la donne a changé, dont quant à la possibilité pour les manufacturiers de se garder le contrôle, même une fois un objet carrément acheté. Auparavant, c’était techniquement impensable; de nos jours, on s’achemine rapidement vers quelque chose d’habituel.

La prochaine fois que vous vous munissez d’un appareil (fusse-t-il une caméra, une voiture ou un tracteur), posez sérieusement la question: que pourra continuer à faire le fabriquant après l’achat (à distance), en plus de mettre le firmware de l’appareil à jour? Vous pourriez être étonné de la réponse!

Le Canada met à jour sa Loi sur la concurrence

Publié le par

Des amendements non-négligeables de la Loi sur la concurrence (la «Loi») entraient ce mois-ci en vigueur, au Canada, incluant afin de la moderniser et de lui donner plus de mordant. Ces changements comprennent les suivants, au cas où vous n’auriez pas vu passer la nouvelle vous non-plus:

  • On interdit dorénavant la pratique du «prix au compte-goutte» (en anglais, «drip pricing»), ou la tendance qu’ont certains détaillants en ligne à divulguer graduellement le prix de ce qui était pourtant annoncé à un prix relativement bas. Vous avez vu cela, comme moi, j’en suis certain : au début, on parle de X$, puis au fur et à mesure des écrans et du processus de réservation ou d’achat, le prix grimpe graduellement, en y ajoutant un frais pour ci, puis un prix pour ça, etc. À ce sujet, la Loi considère maintenant que ce genre de pratique peut équivaloir à de la publicité trompeuse. Eh oui, si tu vois un billet d’avion annoncé à 800$ mais que le prix final est de 1300$, il y a peut-être un problème!
  • Parlant de publicité trompeuse, les amendements récents renforcent les pénalités et amendes prévues par la Loi, en prévoyant que l’amende peut désormais être fixée non-seulement à un montant fixe (comme auparavant), mais aussi de deux autres façons possibles. On pourra désormais alternativement calculer les pénalités de ce genre sur la base du profit qu’a fait l’entreprise par l’entremise de sa tromperie (si on peut le déterminer) ou sur la base du revenu global de l’entreprise. Dans ce dernier cas, la nouvelle règle fixe un plafond à 3% du revenu global annuel de l’entreprise ayant ainsi violé la Loi en matière de publicité trompeuse. Je pense qu’avec des méga-entreprises (comme les Google et Amazon de ce monde) devenues si riches, disons qu’on a plus ou moins le choix de prévoir ce genre de règle, si on veut éviter qu’il s’avère trop facile pour elles de ne pas porter attention à nos lois.
  • Au sujet des amendes, d’ailleurs, les changements récents à la Loi éliminent aussi le concept d’amende maximale prévue pour les infractions pénales. Autrefois fixé à 25 millions de dollars (une pacotille de nos jours), le tribunal peut désormais imposer une amende d’un montant qui s’avère approprié, à sa discrétion. Encore une fois, c’est le genre de règle qui donne de la flexibilité aux tribunaux qui doivent imposer des sanctions en vertu de la Loi, incluant quand l’infraction a été commise par une entreprise de taille, peu susceptible d’être trop inquiète d’une amende éventuelle de quelques millions de dollars.
  • On ajoute une prohibition dans la Loi à l’encontre des ententes de type «anti-braconnage»  (en anglais, «anti-poaching»), un type d’accord permettant à deux employeurs distincts, de convenir de ne pas se «voler» leurs employés respectifs. Désormais, ce genre d’entente entre dans ce qu’on considère comme des restrictions inacceptables aux conditions de travail des salariés au Canada, au même titre que deux concurrents qui fixeraient conjointement les conditions de travail de leur personnel.
  • On permet dorénavant le dépôt par des tiers de procédures visant à sanctionner l’abus de position dominante, une possibilité qui était jusqu’à maintenant essentiellement réservée au Bureau de la concurrence qui pouvait choisir ou non de poursuivre les entreprises délinquantes. Désormais, un concurrent peut en poursuivre un autre pour ce genre de problème dans l’espoir d’obtenir un jugement pour abus de position dominante.

Ces amendements sont en vigueur depuis le 22 juin 2022.