Archives de catégorie : Technologies

Cachez ce code HTML dans votre nom d’entreprise, que je ne saurais voir

Publié le par

On rapporte qu’un entrepreneur anglais se faisait récemment demander par le registraire des entreprises de ce pays de changer le nom de sa société, qu’il avait nommé par du code HTML, en l’occurrence «““>». La raison? Le code pose un risque dans certaines circonstances, quand un usager tente d’interagir avec un nom dans la base de données du registraire anglais.

Le code en question avait le potentiel de permettre de générer une attaque informatique connue sous le nom de «cross-site scripting» («XSS») à partir du site du Companies House (l’équivalent anglais du Registraire des entreprises du Québec) et de son API. Le XSS est un type de faille qui permet à un tiers d’injecter son propre code dans celui qui dirige un site légitime vers le fureteur des visiteurs, résultant potentiellement dans l’exécution d’un programme qui n’a rien à voir avec le site que l’usager voulait consulter — étant entendu que ce code peut alors être n’importe quoi, incluant du code malicieux.

Ici, l’API en question est une interface que rend disponible le registraire anglais afin de permettre qu’on interroge sa base de données sans devoir passer par son site comme tel. En combinaison avec une requête comprenant les caractères composant le nom de la société en question, cela aurait permis d’exécuter du code tiers, ce qui aurait possiblement compris du code dangereux.

Bien que l’entrepreneur en question n’avait aucune mauvaise intention ici, le registraire lui a tout de même demandé de bien vouloir modifier le nom de sa société, ce qu’il a accepté de faire, en la renommant «THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD».

Bref, cela ouvrait une brèche qu’on a maintenant colmatée, mais qui démontre bien que les registraires d’entreprises ont avantage à mieux valider les noms commerciaux qui entrent dans leurs bases de données. Ce n’est pas quelque chose que le gouvernement avait prévu en élaborant ses règles quant aux noms commerciaux qui s’avèrent acceptables pour inscription sur le registre des entreprises. Bienvenue en 2020!

La fouille d’appareils électroniques aux douanes exigerait des soupçons raisonnables

Publié le par

Comme vous le savez sans doute, depuis trente ans, nos douaniers ont progressivement adapté leurs protocoles pour en venir à considérer qu’ils pouvaient farfouiller dans tout ce qu’apporte avec lui un voyageur, incluant le contenu de ses appareils électroniques. Oui, dans le monde actuel, le douanier moyen peut très bien vous demander de voir le contenu de votre ordi ou de votre téléphone intelligent, c’est à ce point.

Bonne nouvelle de ce côté: les médias rapportaient cette semaine une décision albertaine en appel qui conclut que, contrairement à la prétention des douaniers canadiens, une fouille arbitraire d’appareil électronique, que ce soit à la frontière ou ailleurs, s’avère abusive. En principe (toujours selon cette décision), on ne devrait pouvoir fouiller ainsi que si on soupçonne qu’il y a anguille sous roche, pour ainsi dire. À défaut, si on trouve quelque chose suite à une telle fouille, l’accusé pourrait faire rejeter la preuve sur cette base, puisqu’on a enfreint ses droits fondamentaux contre les fouilles abusives par l’État. Ce genre de barème s’applique déjà aux policiers, et la Cour d’appel albertaine ne voit pas de raison de ne pas aussi l’étendre à nos agents des services frontaliers. Ouf, de dire plusieurs, y compris les avocats qui doivent passer la frontière en possession d’un appareil mobile contenant des renseignements privilégiés.

Cette décision pourrait venir renverser la vapeur au Canada, en évitant désormais que nos douaniers se permettent ce qui constitue souvent des parties de pêches en règle, quand on décide manu militari de farfouiller dans l’appareil mobile d’un voyageur passant la frontière. Certes peut-on toujours fouiller physiquement l’individu, d’accord, mais la fouille numérique dépasse les bornes, de dire la Cour d’appel.

Bien que ce soit encourageant, selon moi, il ne serait pas étonnant que l’État interjette appel de ce jugement, avant que l’Agence des services frontaliers du Canada (l’«ASFC») ne mette ses protocoles à jour pour s’y conformer.

Reconnaissance faciale et IA: la pelote de laine à démêler

Publié le par

On peut lire ce matin dans les médias qu’un Québécois demande au tribunal d’autoriser une action collective contre le bailleur de centres commerciaux Cadillac Fairview relativement à l’utilisation de bornes lui ayant permis de recueillir les images et les données biométriques de millions de visiteurs sans leur consentement. Pour le requérant, le bailleur aurait ainsi violé le droit des clients à leur vie privée en vertu de la Charte des droits et libertés de la personne.

Le système de pointe installé par ce bailleur dans certains centres commerciaux au Québec aurait capté l’image de visiteurs consultant l’appareil, et ce, sans les aviser que leur image était ainsi captée puis analysée, notamment pour décliner certaines données comme le sexe de la personne. Bien qu’on n’était pas au point de tenter d’identifier les personnes précisément, la pratique a tout de même de quoi nous préoccuper, selon plusieurs.

Fait intéressant, le Commissariat à la protection de la vie privée du Canada («Commissariat») réclamait justement récemment des mesures de protection de la vie privée plus solides quant à l’élaboration et l’utilisation de technologies liées à la reconnaissance faciale et aux systèmes d’intelligence artificielle (IA). L’annonce publiée la semaine dernière mentionnait les défis qui se présentent à nous en matière de reconnaissance faciale et d’intelligence artificielle. Elle reprenait, en gros, le thème du problème que présente pour la société canadienne l’activation de systèmes qui peuvent désormais vous ficher instantanément et même vous reconnaître.

Le potentiel de dérapage est évidemment énorme, ce qui justifie de nous poser dès maintenant de sérieuses questions quant à ce qu’on peut faire pour restreindre ou baliser l’adoption trop débridée de ce type de technologies.