L’hébergement privé des données névralgiques de l’État

7 mars 2019

Les extras

Les technologies de l’information sont l’équivalent moderne du Far West américain. Puisqu’il met en présence des fournisseurs ultraspécialisés à des clients incompétents, ces derniers sont sujets à des abus.

Après avoir reçu un logiciel de gestion de bases de données, vous vous rendez compte que le champ ‘Prénom’ n’accepte pas les traits d’union (comme dans Jean-Pierre).

Le devis du fournisseur disait pourtant que seuls des caractères alphanumériques y seraient acceptés. Mais vous ignoriez que le trait d’union n’est pas l’un d’eux.

Alors il vous faut payer un extra pour que le programme les accepte.

Et vous aimeriez que le champ ‘Nom de famille’ accepte les apostrophes (comme dans O’Brien) ? Désolé, il faut payer un extra.

Et vous pensiez que la mise en majuscule automatique de la première lettre du nom de famille évitait les erreurs de saisie des données. Mais vous réalisez que cela empêche que les noms comme ‘de Gaulle’ soient inscrits correctement. Encore un extra.

Pour trouver un dossier à partir du numéro de téléphone du bénéficiaire ou du client, vous avez besoin d’un index sur le champ ‘No de téléphone’. Pourquoi ne l’avez-vous pas dit plus tôt ? Ça vient de vous couter un extra.

Après avoir accepté un devis d’hébergement de vos données pour trois ans, vous apprenez à l’issue du contrat que le forfait dont vous avez bénéficié n’est offert qu’aux nouveaux clients.

Parmi les forfaits disponibles au renouvèlement, le moins cher coute trois fois le prix du forfait originel.

C’est moins cher ailleurs, dites-vous ? Eh bien allez-y. Qu’attendez-vous ?

Au cours du transfert d’un hébergeur à l’autre, si vos données sont inaccessibles pendant des heures — ce qui vous occasionne des frais importants — n’essayez pas de savoir à qui la faute : vous ne le saurez jamais.

Faut-il blâmer l’entreprise qui sécurise votre site (de http: à https:), celle qui héberge vos données, ou le registraire qui dirige vos visiteurs vers l’adresse IP (ex.: 126.220.3.127) lorsqu’ils cliquent sur un hyperlien suggéré par un moteur de recherche ?

Totalement indépendants les uns des autres, ces fournisseurs doivent pourtant travailler de concert pour que votre site fonctionne correctement.

Il suffit d’une cache secrète destinée à accélérer la rapidité d’un serveur pour que celui-ci s’obstine à servir des données périmées et nuire à la fiabilité du site web au cours du transfert d’un hébergeur à un autre.

Ceci est un inconvénient dans le cas d’une entreprise. Mais cela devient une catastrophe quand la machine de l’État s’enraie.

Prévoir de faramineux dépassements de couts

Le 4 février dernier, on apprenait l’intention du gouvernement caquiste de réduire le nombre de sites d’entreposage des données gouvernementales.

Présentement, ces données sont dispersées dans 457 sites (ou centres de traitement informatique) dispersés sur le territoire québécois. On veut réduire leur nombre à deux.

Le premier site entreposerait les documents internes de la machine de l’État québécois (courriels, mémos, procès-verbaux, rapports internes, etc.).

Les fonctionnaires accèderaient aux données par l’intermédiaire d’un intranet (ou internet interne) du gouvernement.

À quelle genre de surprise peut-on s’attendre ? Imaginez que le système actuel de paie de l’État québécois fonctionne sous Unix™ alors que le futur intranet fonctionne sous Windows™…

L’autre site entreposerait les données confidentielles des citoyens du Québec détenues notamment par les ministères de la Santé, de l’Éducation, et du Revenu. Ce qui représente 80 % des données que possède le gouvernement.

Ce site appartiendrait à l’une des grandes firmes américaines spécialisées dans l’informatique dématérialisée (ou ‘Cloud Computing’).

Selon les promoteurs de cette réforme, celle-ci permettrait d’économiser une centaine de millions de dollars… si cette réforme n’occasionne pas d’importants dépassements de couts.

Le registre canadien des armes à feu est un contrat accordé à IBM qui a fini par couter 500 fois plus que l’estimé de départ.

Ce qui n’a pas empêché les fonctionnaires fédéraux, toujours conseillés par IBM, de récidiver avec le système de paie Phœnix. Ce contrat, accordé à IBM, est un puits sans fond… et peut-être un jour sans fonds.

En Grande-Bretagne, le ministère de la Santé a dû abandonner un système d’informatisation des dossiers des patients après des dépassements évalués à 3,6 milliards de livres (soit 6,3 milliards de dollars canadiens). Ici le fournisseur était Fujitsu.

On souhaite donc bonne chance au ministre de la Transformation informatique dans ses projets de partenariat avec les requins de l’informatique dématérialisée.

Le choix opposé — l’établissement de la souveraineté technologique de l’État québécois — comporte son propre risque de dépassement des couts.

Mais cette solution possède l’immense avantage de donner à l’État la possibilité d’imposer les profits des fournisseurs québécois qui s’enrichiraient un peu trop sur le dos des contribuables.

Ce qui n’arrivera pas en faisant affaire avec des compagnies comme Amazon, Google, Microsoft ou IBM, qui se hâteront à délocaliser leurs profits à l’Étranger pour échapper au fisc québécois.

Les risques sécuritaires

Parmi les critères de sécurité retenus par le gouvernement caquiste, on compte exiger que les données gouvernementales soient cryptées et entreposées au Québec.

Les géants de l’informatique dématérialisée estiment que les métadonnées extraites de bases de données ne constituent pas des données personnelles dans la mesure où elles sont anonymes.

Bien plus, l’empreinte digitale du fonctionnaire lui permettant d’accéder à son ordinateur ou la reconnaissance faciale destinée à permettre l’accès à un lieu sécurisé ne sont pas considérées comme des données personnelles, mais plutôt des données ‘paramétriques’.

Décrypter les données gouvernementales pour en extraire les métadonnées leur sera d’autant plus facile qu’il s’agira probablement d’un contrat ‘clé en main’.

Ce qui veut dire que l’entreprise qui entreposera des données sera celle qui aura créé le code de cryptage. Pour elle, décrypter sera un jeu d’enfant.

Or ces métadonnées valent une fortune.

Si un jour le gouvernement québécois apprend que ces métadonnées sont vendues aux plus offrants, il lui faudra vaincre le secret corporatif pour faire la preuve que l’hébergeur est responsable de la fuite. Aussi bien dire qu’il ne le saura jamais.

De plus, il y a toujours le risque que le gouvernement américain invoque l’extraterritorialité d’une de ses lois — le Patriot Act, le Cloud Act ou le Foreign Corrupt Practices Act — pour mettre la main sur nos données personnelles.

Si le président américain peut taxer l’aluminium ou l’acier canadien sous le prétexte qu’ils représentent un danger pour la sécurité nationale américaine, on peut présumer qu’il ne manquera pas de prétextes pour compléter l’espionnage américain de nos courriels et de nos conversations téléphoniques par l’ajout de nos données les plus confidentielles.

Ou il pourrait vouloir une copie des déclarations de revenus de nos plus grandes entreprises afin de leur trouver des puces qui justifieraient l’imposition de mesures protectionnistes.

Non seulement les succursales canadiennes de compagnies américaines devront obéir, mais selon la loi invoquée, il se pourrait qu’il leur soit interdit d’en aviser le gouvernement québécois.

Même si le code nécessaire au cryptage des données serait créé par une firme d’informatique du Québec, si les Américains veulent la clé de cryptage, ils n’ont qu’à acheter cette entreprise.

Le Québec n’aurait aucun pouvoir d’empêcher cette vente. Seul le fédéral possède les pouvoirs de le faire.

Peut-on sérieusement compter sur le gouvernement colonial canadian pour protéger le Québec, et ce au risque d’indisposer notre puissant voisin du Sud ?

Conclusion

En annexe au texte ‘L’espionnage de l’État canadien n’a pas de limite’ se trouve une longue liste d’entreprises dont les données ont été piratées.

Toutes ces entreprises avaient mis en place les mesures sécuritaires suggérées par les experts auxquels ils se sont adressés.

La réduction du nombre de centres de traitement informatique devrait à elle seule générer des économies appréciables.

Mais l’hébergement des données de l’État sur des serveurs privés pose un risque sérieux de fuite de nos données personnelles en contrepartie d’une économie ‘virtuelle’ d’une centaine de millions$ sur un budget annuel de 4,5 millards$ consacré aux technologies de l’information.

Est-ce que tout cela en vaut vraiment la peine ?

Références :
Abandoned NHS IT system has cost £10bn so far
À la merci des Américains?
Contrats informatiques: bras de fer derrière les portes closes
Le Québec entend confier au privé les données personnelles qu’il détient sur ses citoyens
Les données personnelles des Québécois livrées au renseignement américain?
L’informatique dématérialisée et l’espionnage industriel
Registre canadien des armes à feu
Stockage de données: les colporteurs se frottent les mains
Système de paye Phénix : un puits sans fond !

Parus depuis :
Contrer les brèches infonuagiques (2019-08-03)
Amazon fait la pluie et le beau temps dans l’infonuagique (2019-08-23)
Apple aurait renoncé au chiffrement des sauvegardes iCloud après des pressions du FBI (2020-01-22)
États-Unis et Danemark sommés de s’expliquer sur l’espionnage d’alliés européens (2021-06-01)
Amazon given contract to store data for MI5, MI6 and GCHQ (2021-10-26)

Laissez un commentaire »

| Informatique, Sécurité | Mots-clés : , , | Permalink
Écrit par Jean-Pierre Martel