Archives de l’étiquette : cybersécurité

Des stats inquiétantes quant aux attitudes en matière de données et de cybersécurité

Publié le par

Malgré un nombre incessant d’intrusions informatiques et d’incidents de confidentialité (pour utiliser le vocable de la loi québécoise), l’employé canadien moyen demeure malheureusement peu enclin à trop s’en préoccuper. C’est du moins ce que je constate en pratique et en lisant des articles tels que celui-ci, paru plus tôt cette semaine.

L’étude récente dont parle l’article en question, mené auprès de Canadiens, révèle que plus du tiers des employés interrogés se disent peu ou pas inquiétés par les vols de données que pourrait subir l’organisation pour laquelle chacun d’eux travaille.  Pire encore, un employé sur cinq serait convaincu ne pas être susceptible d’être même la cible à de cybercriminels pendant qu’il vaque à ses occupations professionnelles. Oh boy.

Au Québec (non ce n’est guère mieux!), plus du ¾ des employés interrogés ne comprennent pas trop pourquoi ils devraient se préoccuper de protection des données chez leur employeur, la plupart présumant qu’il s’agit là d’une affaire dont s’occupe le service des TI ou les affaires juridiques, sans que cela s’avère pertinent pour l’employé moyen. En fait, la même proportion de répondants québécois affirment même qu’ils n’ont reçu AUCUNE formation en matière de cybersécurité de la part de leur employeur : aucune, zip, zippo, nada. Et après cela, on se demande pourquoi la question de l’importance à accorder à la protection des données pose problème!

Avec l’arrivée de la nouvelle version de la loi québécoise en matière de protection des renseignements personnels, un changement de culture s’impose, incluant chez nos PME. Comme c’est souvent le cas, notre petite juridiction demeure perpétuellement à la remorque de juridictions comme l’Europe ou les États-Unis, la protection des données n’y faisant pas exception -semble-t-il. Remarquez bien, dans la mesure où même les dirigeants de la PME moyenne québécoise ne voient pas la pertinence de se compliquer la vie en se préoccupant de questions liées aux renseignements personnels, il s’avère peu surprenant que les employés s’avèrent aussi si peu enclins à vouloir y réfléchir ou s’en préoccuper. Les Vietnamiens ont une bonne expression qui s’applique ici (je paraphrase): une maison, ça coule (fuit) en commençant par le toit. Pensez-y!

Codes 2FA par texto: l’illusion de la sécurité renforcée?

Publié le par

Bien que la technologie d’authentification à deux facteurs («2FA», dans le jargon) s’avère une excellente façon de blinder et sécuriser nos comptes d’accès à des applis et des services en ligne, la réalité demeure que la chaine n’est aussi solide que son maillon le plus faible. Dans le cas de 2FA, un article récent trouvé sur TechRepulic soulignait qu’une pratique laxiste de plusieurs organisations (dont des banques!) nous donne parfois l’illusion de sécurité en configurant mal ce dispositif.

Le problème dont on parle ici c’est le fait que certaines entreprises permettent aux usagers de recevoir leurs codes 2FA par textos (SMS), par opposition à les recevoir directement par l’entremise d’utilitaires logiciels de génération de code 2FA, tel Google Authentificator. En pratique, la vaste majorité des cas où une intrusion se produit (malgré l’activation et l’utilisation de 2FA sur un compte visé), c’est parce qu’on permettait la communication des codes 2FA par SMS. L’inverse se produit, mais cela demeure très marginal.

Pour ceux et celles qui ne le font pas encore, sachez que tous vos comptes qui le permettent (encore plus au travail) devraient être configurés par vous afin d’utiliser une seconde méthode d’authentification, par un dispositif de style 2FA. Dans le monde d’aujourd’hui, ne pas le faire s’avère ni plus ni moins qu’une faute, dont le coup pourrait être l’exposition de vos données ou de celles de vos clients en cas de hack (intrusion informatique, etc.).

En fait, tous les experts en cybersécurité s’entendent pour dire que permettre la transmission de codes 2FA par SMS rend ce genre de système beaucoup plus faible, au point où on recommande dorénavant de complètement retirer cette fonctionnalité des systèmes d’authentification. Dans la mesure où la législation requiert dorénavant se déployer des moyens raisonnables afin de sécurisé les données qu’on détient pour/sur autrui, on arrive rapidement à un point où utiliser une appli ou un service transmettant des codes 2FA par texto pourrait aussi être vu comme de la négligence. Oui, vraiment.

Le hic de ce côté, c’est que nombre d’entreprise, continuent encore de configurer leurs systèmes, pour permettre aux utilisateurs qui le désirent, d’éviter devoir utiliser une application telle Google Authentificator, en se tournant plutôt vers des textos par l’entremise desquels les codes peuvent leur être transmis. En le permettant, ces organisations bernent en quelque sorte leurs usagers, en leur permettant de croire que leur compte est blindé.

Et vous, vos applis et services en ligne permettent-ils encore de vous envoyer vos code 2FA par textos? Si oui, vos comptes en question ne sont pas aussi sécures que vous pouviez le croire -désolé. Si c’est crucial pour votre organisation ou implique l’accès aux données d’autrui, vous voulez peut-être reconsidérer l’utilisation des applis ou des services en question. Alternativement, bon à savoir que plusieurs applis/services permettent dorénavant de désactiver cette combinaison 2FA/SMS, ce que tout usager soucieux de voir à la sécurité de ses données devrait définitivement faire.

Le gouvernement du Canada revampe complètement le processus de connexion à ses services en ligne

Publié le par

Le gouvernement fédéral a finalement compris, après 10 ou 20 ans à faire les choses à l’ancienne, qu’émettre des codes d’usagers individuellement par ses divers ministères (sans vérification réelle d’identité ni renforcement) mène à un non-sens, dont en matière de cybersécurité. Oui, à compter de très prochainement, toutes les organisations et entreprises qui veulent interagir avec un ministère ou ses services en ligne devront le faire grâce à une nouveau dispositif.

L’OPIC (l’«Office de la propriété intellectuelle du Canada») donnait justement une formation à ce sujet la semaine dernière, pendant laquelle on nous a exposé l’arrivée du Canada en 2022, quant à la méthode que les usagers devront dorénavant utiliser pour se connecter aux services gouvernementaux, tels que ceux de l’OPIC.

Le nouveau système mettra au rancart le système ISED que les entreprises devaient jusqu’à maintenant utiliser pour se connecter.

Le gouvernement met notamment en place une nouvelle clé (la CléGC) pour chaque usager individuel, laquelle impliquera la vérification de l’identité et de l’existence réelle des individus qui prétendent se connecter à un service gouvernemental pour le compte d’une entreprise. Il va sans dire que chaque usager individuel devra aussi être autorisé pour agir pour une organisation. Ce n’était pas déjà le cas me demanderez-vous? Euh, non, en fait, pas réellement en tout cas. Jusqu’à maintenant, les entreprises se créaient des codes souvent uniques qui étaient utilisés par nombre d’employés ou de dirigeants, en les partageant ainsi sans réelle vérification de qui ils étaient.

Grâce à ce nouveau système, on éliminera donc à l’avenir l’utilisation et la réutilisation des codes d’usagers non-authentifiés. Finit l’époque où les usagers d’une firme de 20 personnes utilisaient tous le même code d’accès. Côté sécurité informatique, disons que c’est assez de base comme façon de fonctionner mais, bon, félicitation le Canada pou r y parvenir finalement.

Autre amélioration absolument normal à mettre en place en 2022, le système emploiera maintenant l’authentification à deux facteurs (2FA), aussi un concept que toute organisation un tant soit peu préoccupée par la cybersécurité devrait employer depuis longtemps. Bravo aussi pour celle-là, même si cela fait partie des pratiques normales ailleurs depuis déjà des années.

Il s’agit donc d’un pas dans la bonne direction, disons-le.

Bref, si votre organisation doit régulièrement interagir avec le gouvernement fédéral ou l’un de ses ministères, je vous recommande fortement d’y voir. D’ailleurs, les anciens codes d’usagers désuets deviendront bientôt obsolètes, incluant la possibilité de vous connecter à plusieurs par l’entremise d’un même compte. La mise en place débute le 28 mars prochain.