Archives du mot-clef confidentialité

Les faussetés véhiculées sur Patriot Act et l'informatique en nuage

Publié le par
2

Savez-vous ce qu’est le Patriot Act? C’est une loi qui a été créé après les attentats terroristes du 11 septembre 2011 aux États-Unis pour outiller les forces policières à contrer un événement similaire dans le futur. Le Patriot Act est l’argument principal pour décourager toute entreprise canadienne à adhérer auxservices informatiques dans les nuages. Toutefois, en faisant des recherches, j’ai constaté qu’onvéhicule beaucoup de demi vérités, voire même des faussetés à ce sujet.

J’ai fait examiner la loi canadienne par mon avocate pour en avoir le coeur net. L’idée, sans cessevéhiculée que c’est plus dangereux d’héberger ses données aux États-Unis plutôt qu’au Canada,manque de nuance et me parait un peu sensationnaliste.

La loi antiterroriste canadienne et les mandats de perquisition

Les articles 83.28 et 83.29 du Code criminel canadien spécifient que, sur consentement d’un procureur général, un agent de la paix peut demander à un juge une ordonnance autorisant la recherche de renseignements dans le cadre d’une enquête relative à une infraction pour terrorisme.

Le juge émettra une ordonnance s’il constate qu’il existe des motifs raisonnables de croire qu’une infraction de ce type a été, ou sera commise, et que ces renseignements seront essentiels au déroulement de l’enquête. Ce type de demande se fait en l’absence de la personne concernée (requête ex parte). C’est un processus normal en droit criminel, car on veut éviter que le suspect détruise éventuellement des preuves avant l’émission du mandat. Selon les recherches que j’ai effectuées, l’article d’investigation (83.28) a été appliqué au moins une fois dans le cadre de l’enquête sur Air India.

Les États-Unis : le bar ouvert des mandats de perquisition?

Le même processus existe aux États-Unis, à une exception près. Les enquêteurs policiers peuvent effectuer la perquisition et faire la demande du mandat après le fait. Ceci ne leur donne pas forcément le droit de fouiller n’importe qui ou n’importe quoi à leur convenance. Tout comme le Canada, les États-Unis sont un pays de droits où les citoyens sont protégés par des lois. Comme au Canada, vous devez être suspecté d’activité terroriste. La très grande majorité de la société civile et la quasi-totalité des entreprises ne font pas dans le terrorisme. C’est le cas pour ma clientèle, alors ils ne devraient pas s’en préoccuper.

Me David Fraser, que j’ai cité dans un billet précédent, affirme que ce pouvoir de faire des perquisitions dites « sneak and peek » existe aussi dans la loi canadienne. Je n’ai toutefois pas été capable de contrevérifier ce fait.

Est-ce confidentiel malgré tout?

La confidentialité est assurée par la grande majorité des fournisseurs de type « cloud » . Toutefois, cet engagement n’empêchera pas les forces policières d’effectuer des fouilles lorsqu’il y a soupçon d’activité criminelle. Si votre entreprise fait l’objet d’un mandat de perquisition, vous n’aurez pas le droit cacher des informations aux enquêteurs. Les engagements de confidentialité entre vous et le fournisseur en nuage, et celles entre vous et vos clients, ne s’appliqueront pas lors de cette éventualité. C’est d’ailleurs le même processus qui prévaut lorsque le fisc décide de vérifier vos états de compte !

L’opinion du commissionnaire à la vie privée du Canada

Le commissionnaire à la vie privée du Canada a rendu une opinion suite à une plainte de 2 utilisateurs du service de courriel de canada.com. L’entreprise avait l’intention d’impartir ce service aux États-Unis. Voici un passage éloquent qui démontre que les lois américaines sont pratiquement identiques à celles du Canada :

Le risque qu’un fournisseur de services situé aux États-Unis doive communiquer des renseignements personnels aux autorités américaines n’est pas propre aux organisations américaines. Dans le contexte de la sécurité nationale et des mesures antiterroristes, les organisations canadiennes sont sujettes au même genre d’ordonnance de communiquer des renseignements personnels de Canadiens et de Canadiennes aux autorités canadiennes, et pourraient être aussi susceptibles d’en recevoir. Plusieurs ententes bilatérales officielles entre des organisations canadiennes et américaines analogues ont également été mises en place afin de prévoir une coopération et un échange de renseignements pertinents.

via Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-394

Respectez la loi

En résumé, si vous respectez la loi, le Patriot Act ne devrait pas être un enjeu dans votre analyse de risque quand vous évaluez un service informatique en nuage.

Le Patriot Act américain : une bonne excuse pour éviter le Cloud?

Publié le par
9
For What It's Worth

crédit photo Plastic Jesus

Lors du dernier CloudCamp Montréal qui s’est tenu en novembre 2010, une très bonne réponse a été fournie par Rick Claus sur le Patriot Act. Le Patriot Act est une loi qui permet aux policiers et aux agents fédéraux américains de procéder à des perquisitions sans avoir de mandat émis par un juge. Cette loi a été adoptée après le 11 septembre pour des fins d’enquêtes antiterroristes. Toutefois, les spécialistes en informatique au Canada utilisent abondamment cette excuse pour déconseiller l’adoption du « cloud computing » dans les entreprises canadiennes. Ils craignent que le gouvernement américain ait trop de temps de disponible et décide de fouiller les immenses banques de données de fournisseurs tels que Amazon AWS, Microsoft, Google, Salesforce et autres.

Rick Claus est un évangéliste de Microsoft et il semble rattaché à l’offre cloud Microsoft Azure. De toute évidence, il semblait habitué à répondre à cette question. En effectuant des recherches sur internet, j’ai trouvé probablement ce dont il parlait. M. Claus a fait savoir qu’il existe une loi similaire au Canada. Les certificats de sécurité permettent à la GRC et aux services secrets de procéder à des fouilles électroniques sans mandat. D’ailleurs, les agences canadiennes et américaines collaborent étroitement dans l’échange d’information. En résumé, on est surveillé au Canada comme aux États-Unis.

Voici un extrait d’un article d’IT World Canada qui rapporte les paroles d’un avocat spécialisé dans la protection de la vie privée lors des consultations de 2010 sur la protection de la vie privée des consommateurs tenus par le Commissariat à la protection de la vie privée au printemps :

Mais la Loi Antiterroriste (LA), qui a aussi été adoptée quelques mois après les actes terroristes du 11 septembre 2001, a modifié une série de lois fédérales et est très similaire au Patriot Act aux États-Unis, a-t-il dit.

En réalité, « la plupart des dispositions de la USA Patriot Act se reflètent dans le droit canadien », a déclaré M. Fraser.

«Le Canada a un “tribunal secret” qui permet les mandats “sneak and peek”, dit-il. Et comme les États-Unis, « Le Canada a le pouvoir de faire de l’écoute électronique sans mandat pour les communications internationales ».

via Jennifer Kavur de IT World Canada.

Que l’on veille ou non, il existe des risques quant à la confidentialité de vos données d’entreprise. S’ils sont hébergés aux États-Unis, il est plus facile pour le gouvernement américain d’y jeter un coup d’oeil. Mais, à moins d’avoir une entreprise qui oeuvre dans l’illégalité et dans le terrorisme, vous ne devriez pas avoir de problèmes à ce niveau. Il existe des PME qui ont des problèmes informatique beaucoup plus urgents à régler avant de considérer ce risque comme important.

Il faut aussi se poser des questions quant à la confidentialité actuelle de vos données locales. Dans vos infrastructures actuelles, qui a accès à vos banques? Faites-vous confiance entièrement à ces personnes? Ont-ils à gagner quelque chose fouiller ou vendre vos informations? Je vous souhaite une bonne réflexion là-dessus.

Facebook diffuse beaucoup sur vous

Publié le par
4

Par défaut, les paramètres de confidentialité sont très peu restrictifs dans votre profil Facebook. Si vous rejoignez un réseau géographique, d’école ou de compagnie (ex: Québec, QC ou Montréal, QC), votre profil est accessible à tous les membres de ces réseaux (souvent des milliers de personnes). Ils peuvent voir vos statuts, vos photos et vos vidéos.

Mais, ne paniquez pas! Il suffit d’aller dans les paramètres de confidentialité et de corriger cela si ça ne vous convient pas. Dans cette page, il y a une série de listes déroulantes. Les valeurs par défaut sont « Mes réseaux et mes amis ». Il suffit de changer cela pour « Seulement mes amis » ou « Amis de mes amis » dépendant de ce que vous voulez.

Vous vous dites que Facebook est l’incarnation du mal? Non, pas du tout. Les premiers réseaux sur Facebook était des collèges et universités, où les gens avaient probablement un niveau de confiance de base envers les gens du même regroupement.

Toutefois, maintenant les réseaux les plus utilisés sont ceux des agglomérations géographiques. J’ignore pour vous, mais moi je ne connais pas tout le monde dans ma ville. Je ne veux pas les voir me féliciter pour la naissance de mes enfants ou faire des commentaires sur mon costume d’Halloween.