Archives de catégorie : Sécurité & criminalité

Appel vidéo (visio) non verrouillé – secrets commerciaux éventés

Publié le par
On rapportait récemment que les tribunaux américains ont eu à déterminer si le simple fait de tenir un appel vidéo (une « visio ») ouvert à n’importe quel participant (c.-à-d. sans mot de passe d’entrée) peut suffire pour ruiner un secret commercial. La réponse: oui, monsieur! Dans l’affaire américaine Smash Franchise Partners, LLC v. Kanda Holdings, Inc. (No. 2020-0302-JTL, 2020 Del. Ch.), un mécréant se fait poursuivre pour avoir osé lancer une entreprise concurrente en subtilisant (on parle évidemment d’allégations ici) les secrets d’un tiers offrant des franchises de son commerce d’enlèvement de déchets. En gros: un simple participant à une visio ouverte (n’ayant pas signé d’entente de confidentialité), peut-il ensuite piller, utiliser et rediffuser sans vergogne l’information qu’il y a apprise? Ici, le détenteur de la recette secrète d’un concept de franchise donné avait organisé une rencontre virtuelle – une visio (par l’entremise de la plateforme Zoom) –, notamment dans le but de générer de l’intérêt pour sa bannière et, espérait-il, faire des ventes de franchises. Malheureusement pour l’organisateur, les sujets abordés lors de la présentation s’avèrent si intéressants qu’un participant prend ensuite l’information divulguée lors de la visio pour l’utiliser au bénéfice de sa propre entreprise concurrente. Devant une telle concurrence à ses yeux déloyale, l’hôte de la visio entreprend alors des démarches judiciaires visant à stopper ce nouveau concurrent, notamment en s’appuyant sur l’utilisation éhontée (selon lui, comprenons-nous bien) de secrets commerciaux. Pour le requérant, une personne ayant assisté à sa rencontre super spéciale ne pouvait pas simplement ensuite utiliser l’information visée, puisqu’elle lui appartient et contribuait à la valeur de sa propre entreprise. Bien qu’a priori le dossier semblait avoir du potentiel, le juge qui se prononce sur l’affaire en phase interlocutoire (au début du dossier) n’embarque malheureusement pas. En effet, en circulant l’invitation à la visio en question à qui mieux mieux, sans contrôler à l’entrée qui pouvait effectivement y accéder ni vraiment tenir de registre des participants, il devient impossible de prétendre que l’information divulguée ne l’a pas été « au public ». À moins de traiter de l’information comme secrète, en pratique, on ne parle plus d’un secret, en droit. Pas de secret, pas de secrets commerciaux, de dire le magistrat – si bien que toute personne est dès lors libre de divulguer et d’utiliser l’info visée. En somme, comme pour n’importe quelle rencontre ou discussion avec un tiers, eh oui, la réponse est bien qu’une visio durant laquelle on aborde le sujet d’un secret commercial comporte bel et bien un réel danger. Si on discute d’un secret alors que des tiers (c.-à-d. n’ayant pas signé d’entente de confidentialité) peuvent écouter ou voir, on peut certainement mettre la protection du secret en péril. Cela n’a d’ailleurs rien détrange: qu’on discute en personne, au téléphone, par courriel, par visio ou à la radio, la règle demeure la même et le danger identique: toute fuite a le potentiel de faire sombrer le bateau entier. L’affaire nous sert donc un bon rappel de la fragilité relative des secrets commerciaux (ou industriels), comme forme de P.I. À moins d’une vigilance constante de la part de l’entreprise détentrice, il s’agit d’une forme très fragile de protection d’intangible. En principe, eh oui, même une innocente conversation avec une seule personne (même en ligne) peut faire perdre la protection (juridique) d’un secret commercial, c’est bien le cas. À ce sujet, ultimement, le mode de communication ne change rien: de la divulgation au public, c’est de la divulgation au public, même quand le public en question se limite à l’auditoire limité d’une visio! Cela vaut d’ailleurs non seulement aux États-Unis, mais aussi au Québec, au Canada ou ailleurs, et ce, peu importe qu’on parle de secrets commerciaux ou de secrets industriels. Qu’on se le tienne pour dit!

L’absence de certification des numéros téléphoniques affichés et l’arnaque «Service Canada»

Publié le par

Depuis quelques semaines, je reçois en moyenne 3 ou 4 appels de tentative de fraude par jour, sur mon cellulaire: des appels prétendument de «Service Canada». Selon un article de La Presse ce matin, je ne suis pas le seul, loin de là.

L’article confirme que la plupart des Canadiens reçoivent souvent des appels automatisés les invitant à composer le 1 pour parler à un préposé du gouvernement qui enquête sur une fraude relative à leur numéro d’assurance sociale. Difficile à croire, mais il semble que l’arnaque circule depuis plus de 5 ans au Canada et qu’elle continue de faire des victimes.

La GRC connaît bien le dossier, mais s’avoue largement impuissante à mettre un terme à l’arnaque en question, notamment parce que les centres d’appels des fraudeurs sont habituellement situés en Inde. Eh oui, les criminels aussi sont passés à la mondialisation.

Si vous êtes curieux de savoir si ce qui se produirait si vous appuyiez effectivement sur 1 lors d’un tel appel, le journaliste l’a fait pour nous, afin de voir là où cela menait. En gros, le malfrat qui prend alors l’appel tente de vous convaincre par divers moyens que votre numéro d’assurance social a été compromis et que vous devez mettre l’argent de votre compte bancaire entre ses mains. C’est évidemment plus complexe que cela, mais c’est le résumé. Même si cela peut sembler risible comme arnaque, des Canadiens (souvent peu éduqués ou âgés) s’y font prendre, dont 739 victimes au Canada depuis juin 2020 seulement! Oui, à permettre à des arnaques pareilles de continuer à tourner, des individus se feront tôt ou tard attraper, c’est la triste réalité.

En pratique, les fraudeurs évitent d’être repérés en affichant des numéros falsifiés sur les afficheurs de leurs victimes potentielles. Souvent, pour augmenter les chances que la cible décroche et prenne l’appel, le numéro choisi adopte le même indicatif régional (514 à Montréal, par exemple). Ce qu’ignorent encore beaucoup de gens, c’est que l’afficheur peut aisément être berné par les fraudeurs. Eh oui.

En pratique, la chose principale qui permet l’existence de cette arnaque, c’est le fait que le système de téléphonie canadien ne permet pas encore de valider le numéro affiché sur notre appareil lors de la réception d’un appel. Difficile à croire, mais le système canadien n’a toujours pas mis en œuvre de système produisant des certificats qui valideraient les numéros déclarés aux afficheurs. Oui, encore en 2020, il suffit à un fraudeur de se munir d’un dispositif très peu coûteux et largement disponible afin d’afficher le numéro qu’il souhaite lors d’un appel (du «spoofing»). On serait cependant à étudier la chose pour y arriver un jour.

En attendant, les Canadiens doivent recevoir les appels en question, sans espoir de recours ni de fin en vue de ce problème. Il faut avouer que même sans risquer de s’y faire prendre, cette arnaque nous cause collectivement des pertes de temps que j’aimerais bien voir enrayées, sans parler du risque que de tels appels font courir à ceux qui s’avèrent vulnérables, mais dotés d’un appareil téléphonique.

Pour le moment, je vous recommande de faire comme moi et de filtrer vos appels. Le problème par contre, en ne décrochant que pour mes contacts dont mon appareil connaît le numéro) c’est que les fraudeurs me laissent alors un message, que je devrai manuellement supprimer. Dans la catégorie «Y en aura pas de facile!».

Analyse de données sonores et impression 3D: outils des cambrioleurs de demain?

Publié le par

Dans un exemple des merveilles technologiques qui ne cesseront jamais de (potentiellement) nous compliquer l’existence, des chercheurs publiaient cette semaine leur découverte de la possibilité de deviner le dessin d’une clé grâce au son qu’elle produit en entrant dans la serrure. Oui, c’est semble-t-il bien réel, le son que produit votre clé au moment de déverrouiller la porte peut être analysé afin d’en produire une copie.

Bien que cette curiosité technologique (voir scientifique) touche quelque chose de résolument analogue (i.e. les clés et verrous traditionnels), la nouvelle implique néanmoins un aspect très techno, puisqu’afin d’y parvenir, on doit évidemment utiliser un système d’analyse de données, afin d’inférer du son que produit la clé à quoi elle peut ressembler. Le système parvient alors à un nombre restreint de possibilités les plus probables du dessin de la clé en question, à partir d’un répertoire d’une dizaines de milliers de possibilités, semble-t-il.

D’ailleurs, une fois que le système parvient à 2 ou 3 choix qui pourraient fonctionner, on peut même lier le système à une imprimante 3D, ce qui permet alors de passer de la théorie à la pratique, en quelques minutes seulement, en imitant carrément la clé et en produisant une copie qui pourrait réellement ouvrir la porte en question.

Tiens, je reconsidère soudainement ma réticence à considérer nous équiper de verrous numériques.