Plateformes mobiles et chiffrement : tendances et enjeux en matière de vie privée et de sécurité

Auteure: Isabel Poirier Étudiante au cours de DRT6929E

Se tenait la semaine dernière à Barcelone, le Congrès mondial de la téléphonie mobile 2015 où quelques récentes applications et nouveaux appareils mobiles axés sur la vie privée ont été présentés; ils ont la particularité de permettre le chiffrement/cryptage de données de communication. Parmi les médias ayant couvert l’événement, Forbes Tech, dans un article du 2 mars, traite spécifiquement de ces nouveaux outils qui s’adressent aux pro-vie privée parmi les utilisateurs de téléphones mobiles et de tablettes.

Tout d’abord, il existe l’application Signal (de Open Whispers Systems) qui fait le cryptage des conversations téléphoniques et des messages textes pour iPhone et de toutes les communications pour iOS, incluant les métadonnées (par exemple, qui appelle et quand), en plus de générer une nouvelle clé par message. Cependant, Open Whispers Systems pour iPhone et iOS ne serait pas parfait au niveau vie privée puisqu’il conserve, dans sa version actuelle, une banque de données centrale composée des contacts des utilisateurs. Parmi les autres applications en compétition en matière de cryptage de communications de messagerie pour téléphones mobiles, Forbes Tech mentionne Silent Phone et Silent Text (de Silent Circle), Wickr (de Wickr, LLC) et Telegram Messenger (de Telegram LLC).

Côté appareils mobiles, les nouveautés qui pourraient intéresser plusieurs utilisateurs qui sont encore plus sensibles à la protection de leur vie privée sont les appareils Blackphone, soit le téléphone intelligent Blackphone 2 et la tablette Blackphone+ qui seront mis sur le marché en 2015 par l’entreprise Silent Circle. Forbes Tech explique que ces appareils ont été développés dans une optique de protection de la vie privée en utilisant le cryptage des communications, incluant les carnets d’adresses. Ainsi, le Blackphone devrait être en mesure de mieux protéger les utilisateurs contre les cyberattaques et la surveillance en ligne, tous deux en pleine croissance.

En effet, selon l’Agence France-Presse, dans un article du 5 mars publié sur lapresse.ca, les cyberattaques ciblant les téléphones mobiles sont appelées à augmenter dans les prochaines années. L’Agence France-Presse précise qu’elles ont d’ailleurs commencé à se faire plus présentes et potentiellement dommageables, citant à titre d’exemples le piratage récent de l’application Grindr et les logiciels malveillants de cryptage de type ransomware comme CryptoLocker s’ils venaient à être développés en version mobile. Donc, il est intéressant de constater que le cryptage de données est aussi utilisé à des fins moins honorables.

Cela dit, une telle croissance anticipée des cyberattaques des mobiles peut s’avérer alarmante, surtout dans un contexte de croissance des transactions en ligne faites via plateformes mobiles (information confirmée au Québec par une récente étude Cefrio rapportée par Infopresse ce 10 mars). Ainsi, ces données de nature financière peuvent être volées, soit via les outils utilisés par l’utilisateur ou via ceux du commerçant (ordinateur, mobile, Internet of Things, clouds) si ce dernier ne prend pas les mesures raisonnables et suffisantes pour sécuriser ces données de paiement et les protéger des attaques. Symantec, dans un article de CNBC daté du 5 janvier, souligne d’ailleurs ce problème.

Toujours est-il qu’au Canada, il est de la responsabilité des entreprises qui collectent des renseignements personnels, à plus forte raison ceux qui collectent des renseignements ayant un degré de sensibilité supérieur de par leur nature financière (Annexe 1, article 4.1, de la Loi sur la protection des renseignements personnels et des documents électroniques («LPRPDE»)), d’adopter des méthodes pour assurer la sécurité de ces renseignements. La LPRPDE précise d’ailleurs que ces méthodes devraient comprendre notamment des mesures techniques comme l’emploi de mots de passe et du chiffrement (art. 4.7.3 c) de la LPRPDE). On voit donc ici une autre utilisation du chiffrement qui, cette fois, est suggérée dans un contexte de collecte de renseignements personnels.

S’ajoutent par ailleurs à ces dispositions, au Québec, les principes similaires de mesures de sécurité raisonnables (art. 10 de la Loi sur la protection des renseignements personnels dans le secteur privé) et de mesures de sécurité assurant la confidentialité d’un renseignement confidentiel (art. 25 de la Loi concernant le cadre juridique des technologies de l’information). De plus, afin de limiter les dommages potentiels qui pourraient survenir en cas de bri de sécurité occasionnant un vol de données, il est important de rappeler qu’une entreprise qui collecte des renseignements personnels dans un contexte de transaction financière doit limiter cette collecte aux informations qui sont nécessaires à la transaction puis qu’elle les détruise dès qu’elles ne le sont plus (principe de limitation de la collecte et principe de limitation, de communication et de conservation – articles 4.4 et 4.5 de l’Annexe 1 de la LPRPDE).

En guise de conclusion, on comprend que les questions de vie privée et de sécurité seront de plus en plus au cœur des préoccupations des internautes, dans un contexte de multiplication des plateformes et de leurs utilisations. Il est aussi intéressant de constater que le cryptage est un outil qui peut être utilisé pour servir des finalités diamétralement opposées;  une protection pour les uns, une arme pour les autres.

This content has been updated on March 11, 2015 at 14 h 09 min.