Faire un don
Suite au piratage d’Equifax, nous devons repenser aux façons de nous identifier Thumbnail
‹ Retour
Confidentialité 26 septembre 2017

Suite au piratage d’Equifax, nous devons repenser aux façons de nous identifier

Mark Buell
Par Mark BuellRegional Bureau Director, North America

Les victimes de vol d’identité vous diront qu’après que cela vous soit arrivé, votre vie personnelle est totalement brisée. Il s’agit d’une expérience à la violence indescriptible. Un inconnu se fait passer pour vous,  commet des crimes sous votre nom et en détruisant ainsi votre réputation. Démêler le désordre qui suit est un processus long, douloureux et sans fin – tout cela parce que quelqu’un d’autre était négligent ou a été délibérément négligent avec vos données.

Même si ces dernières n’ont pas fair partie de la violation de Equifax, vous devriez être à la fois inquiet et en colère. Il s’agit d’un acte potentiellement catastrophique: environ 143 millions d’individus (soit plus ou moins 45% de la population américaine) sont maintenant confrontés à la perspective d’un vol d’identité.

En tant que société, nous devons repenser sérieusement au pourquoi et au comment nous identifions les personnes. Comment le numéro de sécurité sociale est-il devenu l’identifiant par défaut, en particulier pour les fonctions non gouvernementales telles que les bureaux de crédit? Lorsque l’administration de la sécurité sociale l’avait émis en 1936, son «seul but» était de suivre l’historique des gains des travailleurs au niveau des avantages. En fait, Kaya Yurieff souligne que, jusqu’en 1972, le bas de la carte on mentionnait: « POUR DES FINS DE SÉCURITÉ SOCIALE – NON POUR L’IDENTIFICATION ».

Les numéros de sécurité sociale (n°SS) n’ont pas été conçus pour être utilisés pour l’identification générale, et ils ont précédé l’ère numérique. Ils ne l’ont pas été non plus pour répondre au type de menace auquel ils font face aujourd’hui. Une partie du problème est que les numéros sont maintenant collectés par les entreprises pour des besoins non prévisibles et répandus comme des confettis dans des serveurs connectés à Internet. De plus, ce numéro est un faire-valoir typique ; même si un individu doit présenter sa carte de sécurité sociale, une contrefaçon est possible.

Les Coréens sont les premiers à avoir expérimenté des pièges des continuels identificateurs nationaux persistants. De 2004 à 2014, environ 80% des Coréens ont eu leurs numéros d’identification nationaux et des données personnelles volés dans diverses entreprises. Le scandale a conduit à des appels à une refonte du système national d’identité. Ce système n’a pas été revu, mais les personnes de plus de 17 ans ont reçu de nouveaux chiffres à un coût estimatif de milliards de dollars. Depuis 2014, la Loi sur la protection des données personnelles (PIPA pour ses sigles en anglais) a interdit la gestion des identifiants des résidents, indépendamment de l’approbation quant à l’objectif des données, et a exigé la suppression par les processeurs de données de tous ces identifiants collectés dans les deux ans antérieurs au mois d’Août 2014.

Les entreprises américaines devraient retirer une page du livre de Corée du Sud; ils n’ont pas besoin d’attendre que la législation intègre la minimisation des données – en limitant d’elles-mêmes la quantité de données qu’elles collectent et conservent. Si le numéro de sécurité sociale d’un client n’est pas nécessaire à 100% pour fournir un service, pourquoi le demander?  Plus les utilisateurs seront touchés par des violations de données, plus ils hésiteront à s’engager avec une entreprise qui demande leur numéro de sécurité sociale en ligne. Les entreprises qui adopteront la minimisation des données dès le début éviteront ce piège.

Si une entreprise requiert le numéro de sécurité sociale d’une personne, elle doit se demander si cela est vraiment nécessaire (une fois que l’identité a été établie, un autre identifiant peut-il être utilisé ou créé ?) et quelles mesures seraient mises en place pour protéger ces données (si le nº de SS doit être utilisé comme identifiant, peut-il être séparé d’une autre information personnelle ?).
A un niveau macro, il est peut-être temps d’étudier de meilleures voies de gestion des numéros de SS aux Etats-Unis. Alors que cet engagement et son coût s’avèrent conséquents, le coût potentiel de toutes les retombées pour des cas de vol d’identité sur des millions de citoyens américains l’emporte sur ces considérations. Rien qu’en 2016, les vols d’identité sur des Américains a représenté un coût de plus de 16 milliards de USdollars. [5]

Idéalement, nous aurions besoin d’un système qui permettrait à un identifiant d’être remplacé tout en maintenant la continuité du registre des individus. Cela existe déjà, mais seulement sur une échelle limitée et seulement après qu’un individu ait été victime d’un vol d’identité. (Voir https://faq.ssa.gov/ling/portal/34011/34019/article/3789/can-i-change-my-social-security-number: « Une victime d’un vol d’identité continue à être lésée par l’utilisation de son numéro original. »). Nous ne devons pas supprimer les numéros de sécurité sociale, mais ce ne devrait pas être la méthode pour valider l’identité de quelqu’un en ligne ou hors ligne. Dans tous les cas, ces numéros ont besoin d’une sécurité accrue au moment où ils sont fournis (ex. double facteur d’authentification) et lorsqu’ils sont collectés (ex. cryptage, contrôle d’accès, etc.). Nous avons également besoin de moyens pour révoquer et remplacer les numéros en cause.

En tant que citoyen, pour vous-même, ainsi que par exemple pour les autres, – vous devez affirmer votre vie privée. Si vous êtes invité à fournir votre numéro de sécurité sociale, demandez pourquoi l’entreprise en a besoin, comment ce numéro sera utilisé et comment l’entreprise protégera cette information. Proposez-lui d’offrir un moyen alternatif d’identification. Si vous n’utilisez plus un service, demandez-leur de supprimer votre compte et toutes vos données personnelles. Rappelez-vous de ne pas réutiliser des mots de passe, de ne pas répondre à des questions sur la sécurité comportant une information captieuse, de choisir différentes questions pour chaque service et d’utiliser le cryptage là où vous pouvez. Pour plus de conseils en matière de confidentialité en ligne, allez sur « Sword and Shield », ainsi que sur « Your Digital Footprint Matters » (Sujets impliquant votre empreinte numérique).
Les utilisateurs peuvent prendre des mesures pour se protéger eux-mêmes, mais finalement, la responsabilité est entre les mains de ceux qui manipulent nos données personnelles, et souvent de façon trop cavalière. Il n’est pas suffisant de dire « Oups ! Nous avons eu une violation de données ; désolés pour ça ! ». Si les entreprises ne traitent pas sérieusement cette question, elles ne devraient pas être autorisées à les collecter ni à les gérer. En outre, les gestionnaires de données devraient avoir des plans d’urgence robustes afin de réduire autant que possible l’impact d’une violation sur la vie quotidienne des utilisateurs et en fin de compte, c’est sur eux que devrait retomber le fardeau d’une violation de données et non pas sur l’utilisateur final.

‹ Retour

Avertissement: Les points de vue exprimées dans cette publication appartiennent à l’auteur et peuvent ou non refléter les positions officielles de l’Internet Society.

Articles associés

Mobilisons-nous pour une meilleure intendance des données
Mobilisons-nous pour une meilleure intendance des données
Confidentialité12 décembre 2017

Mobilisons-nous pour une meilleure intendance des données

If we want organizations like Equifax to be good data stewards, we, the users and consumers, must mobilize.

Le cryptage puissant est essentiel à notre sécurité, pas un obstacle
Le cryptage puissant est essentiel à notre sécurité, pas un obstacle
Hors Catégorie13 octobre 2017

Le cryptage puissant est essentiel à notre sécurité, pas un obstacle

Les technologies de cryptage aident à protéger les données des utilisateurs contre le vol d'identité et aident à sécuriser l'infrastructure...

2018: il est temps d'écouter les voix des femmes
2018: il est temps d'écouter les voix des femmes
Femmes de la Tech30 janvier 2018

2018: il est temps d’écouter les voix des femmes

2017 a été une année où la voix des femmes a résonné dans le monde entier. Des marches féminines mondiales,...

Rejoignez la conversation avec les membres de Internet Society à travers le monde