Archives de catégorie : Technologies

Failles alléguées dans l’outil Cellebrite UFED: on pourrait devoir douter de preuves tirées de cellulaires verrouillés

Publié le par

Comme on s’en doute, les policiers se butent parfois à des appareils cellulaires dont le contenu n’est pas accessible pour eux, parce que verrouillé. Principe de base en sécurité, autant pour les citoyens honnêtes que les malfrats : verrouillez votre appareil lorsqu’il n’est pas utilisé. Pour les policiers, cela crée parfois des problèmes puisque la preuve requise se trouvera parfois à l’intérieur d’un appareil ainsi bloqué. Quand cela se produit, les forces de l’ordre disposent de certains outils qui peuvent s’avérer utiles, notamment le produit UFED d’une société israélienne nommée Cellebrite.

En utilisant UFED, les forces de l’ordre pourront parfois avoir accès aux données que renferme l’appareil mobile d’un suspect, y compris s’il s’agit d’un cellulaire de marque iPhone. On s’en doute, l’accès aux données d’un cellulaire peut s’avérer une mine d’or pour trouver de la preuve, incluant les messages, les fichiers, etc.

Or (et c’est là que l’histoire devient intéressante), récemment on est parvenu à mettre la main sur UFED et à en examiner la sécurité ou, plus précisément, la quasi-absence de sécurité, selon certains. En fait, selon le rapport à ce sujet que faisait Moxie Marlinspike (créateur de l’appli Signal), le produit de Cellebrite s’avère tellement truffé de vulnérabilités logicielles qu’on peut aisément le corrompre simplement en l’utilisant sur un cellulaire piégé. Selon lui, quand cela se produit, certains rapports issus d’UFED pourraient être modifiés à l’insu de l’opérateur.

Ce que cela a à faire avec le droit, c’est que les médias rapportent qu’un procureur de la défense (créatif, disons-le) s’est déjà emparé de cette information afin de contester la condamnation de l’un de ses clients, laquelle avait entre autres été obtenue grâce à de la preuve générée par UFED. Après tout, si on ne peut se fier sur les résultats d’un outil utilisé pour créer de la preuve, ne devrait-on pas à tout le moins pouvoir contester le résultat d’un procès dans lequel une telle preuve a été présentée? En telles circonstances, il est concevable que certaines condamnations (liées à de la preuve obtenue grâce à UFED) puissent être remises en question, incluant en demandant la tenue de nouveaux procès.

UFED serait utilisé à grande échelle par les forces de l’ordre, particulièrement quand une enquête se bute à un iPhone verrouillé. On ignore encore combien de cas cela pourrait toucher si ce problème d’UFED est un jour confirmé.

Voilà donc là un nouvel exemple de l’interaction perpétuellement problématique entre la cybersécurité et le droit.

Rejet d’une action collective quant aux données personnelles dans un ordinateur portable égaré

Publié le par

La Cour supérieure rejetait il y a quelques semaines une action collective fondée sur un défaut de protéger adéquatement les renseignements personnels d’individus fichés chez une organisation. Fait intéressant, contrairement au scénario habituel, la poursuite en question est parvenue à passer tout le processus d’une action collective, pour en arriver à un véritable jugement sur le fond, contrairement à ce qui se passe habituellement dans ce genre de dossier, comme le rejeter parce que frivole ou parce que l’action collective ne tient pas la route pour un tel type de recours devant les tribunaux.

Cette fois, les tribunaux québécois nous fournissent une véritable décision suivant une action collective en matière de fuite de renseignements personnels, chose relativement rare, au Québec comme ailleurs. Nous obtenons donc ici une vraie de vraie décision se prononçant quant au comportement d’une organisation qui a subi une fuite de données personnelles.

La décision en question est celle de Lamoureux c. Organisme canadien de réglementation du commerce des valeurs mobilières (2021 QCCS 1093), laquelle découle de l’action intentée par un individu faisant partie d’un groupe dont les renseignements étaient sauvegardés dans un ordinateur portable dont les données n’étaient pas chiffrées, ordinateur et égaré par un préposé de la défenderesse (l’«OCRCVM»). Son recours visait à être indemnisé pour le préjudice lié à de l’inquiétude, l’usurpation (appréhendée ou réelle) de son identité, des inconvénients, etc. On demandait aussi au tribunal d’octroyer des dommages punitifs à cause de l’insouciance alléguée de l’OCRCVM et de son retard à intervenir adéquatement lors de l’incident.

Comme cela se produit souvent dans ce genre d’affaires (lorsqu’on obtient une véritable décision), le tribunal estime que les simples craintes et désagréments découlant d’une perte des renseignements personnels ne seront généralement pas des dommages susceptibles d’être indemnisés par nos tribunaux. Bien qu’il ne soit pas nécessaire de carrément être victime de vol d’identité (par exemple), on doit tout de même avoir subi un véritable préjudice. Or, ici, ce qu’on alléguait constituer un préjudice ne se qualifiait tout simplement pas comme étant de véritables dommages en droit; c’était plutôt ici des «inconvénients normaux que toute personne vivant en société rencontre et devrait être tenue d’accepter». En gros : désolé, mais être simplement dans la liste des personnes impliquées dans une perte de données n’est pas suffisant, en soi, pour justifier un recours devant les tribunaux québécois. Cette conclusion s’avère d’ailleurs conforme à ce qu’on a vu dans d’autres affaires du genre, notamment au Québec.

Ici, le requérant n’est pas parvenu non plus à démontrer de lien de causalité entre la perte de l’ordi en question et les problèmes liés au vol (réel ou tenté) de son identité qui seraient survenus. Ainsi, le tribunal ne pouvait pas non plus donner droit à la demande de dommages punitifs. Comme on s’en souviendra, non seulement doit-on toujours démontrer une faute et un préjudice, mais aussi un lien causal entre les deux. Ce troisième ingrédient faisant défaut, le tribunal rejette aussi le recours de ce côté.

À tout événement, cette décision réitère qu’en pareil cas, s’ils espèrent réussir avec un tel recours devant nos tribunaux, les demandeurs devraient pouvoir démontrer non seulement une faute suffisante, mais aussi (et surtout) de véritables dommages qui soient susceptibles d’indemnisation. La perte de vos renseignements par un tiers n’est donc pas un billet de loterie, loin de là.

De plus, malgré que la demande de M. Lamoureux visait aussi à obtenir des dommages punitifs, le tribunal conclut qu’on était ici non seulement pas dans un cas de faute intentionnelle, mais aussi que l’OCRCVM a été suffisamment diligent dans sa réaction à la perte de l’ordi en question, compte tenu des circonstances. La C.S. se refuse donc à voir ici une faute dont la gravité justifierait d’octroyer des dommages punitifs. Troisième prise, donc.

Fait intéressant, au passage, la C.S. énonce des principes à appliquer dans l’examen de demandes similaires à l’avenir, quand vient le temps de juger du bien-fondé des démarches d’une organisation en pareilles circonstances. En l’occurrence, la C.S. confirme ici qu’en cas de perte d’un appareil mobile (non chiffré), les démarches suivantes peuvent s’avérer adéquates:

  • mener une enquête interne sérieuse;
  • retenir sans délai les services d’un consultant spécialisé afin de cerner l’information perdue et de jauger le risque que cette perte représente, etc.;
  • aviser les autorités, notamment celles en matière de renseignements personnels; et
  • aviser les victimes potentielles, en plus de leur payer un service de surveillance de dossier de crédit.

Quand ce genre de démarches ont été suivies, les tribunaux ne devraient pas normalement envisager l’octroi de dommages punitifs.

Censure d’Internet : l’Oscar pour Nomadland et celui de Chloé Zhao cachés aux Chinois

Publié le par

On rapporte cette semaine que l’État chinois continue de censurer «sa» version de l’Internet, alors qu’il a fait disparaître toute référence à l’Oscar gagné par la ressortissante Chloé Zhao. Eh oui, il semble que si vous regardez en ligne à partir de la Chine, vous ne trouverez aucune mention du fait qu’une femme d’origine chinoise vient de remporter un Academy Award aux États-Unis en tant que meilleure réalisatrice, rien de moins, ni que son film Nomadland a remporté le prix du meilleur film; vous pouvez trouver de l’info sur les autres gagnants 2021 d’Oscars, mais pas sur ce film précis, ni sur sa réalisatrice.

Comme on s’en souviendra, la Chine a mis en place toute une série de technologies et de systèmes visant à épurer le Web et les réseaux sociaux des sources et de l’information jugées incompatibles avec le bien-être de la société chinoise par son gouvernement. Ce grand mur numérique de Chine permet au gouvernement chinois de choisir à volonté l’info à laquelle ont accès ou sont exposés ses citoyens — pour le bien commun, évidemment.

On ne sait pas exactement pourquoi les renseignements relatifs à Chloé Zhao et à son film ont été ciblés, mais on soupçonne une entrevue donnée en 2013 comme en étant la raison. En effet, la réalisatrice aurait osé dire à un journaliste que son expérience, en sortant de la Chine (pour aller étudier en Angleterre), lui avait fait comprendre qu’un grand nombre de mensonges étaient véhiculés en Chine, au point que cette société en était truffée.

Quelle qu’en soit la raison, la Chine a choisi de censurer toute nouvelle du prix gagné par Chloé Zhao et son film, de la version du Web à laquelle on peut légalement accéder à partir de l’intérieur de ce pays. Le New York Times rapporte qu’une recherche à ce sujet sur le moteur de recherche chinois Weibo donne un seul résultat énonçant : «According to relevant laws, regulations and policies, the page is not found» [ce résultat s’avère indisponible pour des raisons de conformité au droit].

Si on censure une telle information pour une raison aussi anodine qu’une phrase dans une entrevue de 2013, on peut se douter de la quantité effarante d’information qui doit être bloquée ou censurée par la Chine pour ses citoyens.

Il s’agit là d’un nouvel exemple d’une tendance malheureusement bien établie dans les pays aux tendances antidémocratiques. Eh oui, comme c’est souvent le cas, quand une technologie existe pour faire quelque chose (comme disséminer l’info par le Web), on pourra habituellement rapidement en trouver une pour la contrer.

Exemple surréel de véritable censure, mais un bon exemple de jusqu’où peut aller un régime de contrôle de l’information, dans un pays qui opte pour cette voie, plutôt que la liberté d’expression et de circulation de l’information.  Ainsi, malgré l’existence de l’Internet, des réseaux sociaux et du Web, le Grand mur numérique de Chine permet à l’État chinois de mettre des lunettes teintées de rose (ou est-ce de rouge?) à ses citoyens, pour leur propre bien — évidemment.

En passant, j’ai vu Nomadland et c’est effectivement très réussi. Je vous encourage à le voir, autant pour sa réalisation que pour la performance de Frances McDormand.