Le pointage électronique par géolocalisation – analyse contextuelle et rapport de Crypto.Québec

Alors que tous célébraient la potentielle fin en vue de la pandémie et du confinement au Québec, au courant de la semaine dernière, un combat de titans avait lieu dans le milieu de la construction au Québec. La raison?

Le pointage électronique par géolocalisation.

190,000 employés du milieu de la construction au Québec menacent de tomber en grève si leurs employeurs font mettre la nécessité d’accepter le pointage électronique par géolocalisation dans leur convention collective.

Comme l’indique l’article d’Isabelle Dubé de la Presse:

“Le risque d’intrusion dans la vie privée des salariés avec le pointage sur cellulaire et la géolocalisation personnelle des individus force les cinq associations représentatives de la construction à refuser la signature d’une nouvelle convention collective.”

Crypto.Québec a été contacté afin de rédiger un rapport d’expert sur les enjeux en lien avec le pointage électronique par géolocalisation. Les enjeux reliés à cette pratique et, surtout, la possibilité que cette pratique se répande à d’autres milieux au Québec, nous a particulièrement rejoint.

Nous publions donc aujourd’hui la première version de ce rapport, dans lequel nos conclusions sont sans équivoque: le pointage électronique par géolocalisation est la méthode la plus intrusive, la plus dangereuse et la moins avantageuse pour les utilisateurs finaux/employés. Il s’agit également de la méthode la plus suboptimale de toutes les méthodes de pointage électronique pour une organisation/entreprise.

Qui plus est: elle ne suit pas les meilleures pratiques déjà en place dans le milieu de la sécurité de l’information (incapacité d’identifier et authentifier convenablement les utilisateurs/employés) et elle ne s’incrit absolument pas dans l’esprit des lois actuelles en matière de protection des données personnelles et de la vie privée (par exemple le RGPD) et celles qui s’en viennent (notamment le PL64 au Québec). Et évidemment, on ne parle même pas des enjeux éthiques reliés à cette pratique.

Le pointage électronique par géolocalisation : une pratique à bannir.

Couvrir les brèches de sécurité – Pourquoi?

Les systèmes informatiques sont paralysés. Des inconnus exigent le paiement d’une rançon avant de vous redonner accès à vos données. Comme si ce n’était pas suffisant, ils menacent de les diffuser publiquement. Comble de malheur, un journaliste vous appelle. Il a vu cette cyber attaque annoncée sur le site du groupe responsable. Il a des questions à vous poser…

Couvrir les brèches de sécurité soulève des questions éthiques. Pourquoi en parler? Ces reportages sont-ils d’intérêt public? Voulant explorer ces questions, je me suis entretenu par courriel avec Dissent Doe, Phd, pseudonyme de la personne derrière le site de nouvelles databreaches.net.

Continuer la lecture de Couvrir les brèches de sécurité – Pourquoi?

PGP EFAIL – Ce qu’il faut savoir

Trois chercheurs en sécurité ont publié une recherche documentant deux attaques (side channel) sur le chiffrement de courriels par PGP. Il ne s’agit pas d’une faille dans PGP, mais bien dans son implémentation dans divers clients, tels que Apple Mail, Thunderbird, iOS Mail, etc. Ces vulnérabilités devront être corrigées par les clients de courriel.

En attendant, pas de panique – voici quelques mitigations qui permettent de se protéger et de continuer l’envoi de courriels chiffrés de bout-en-bout :

1 – Déchiffrer les courriels PGP dans une autre application que celle qu’on utilise pour lire les courriels. Oui, ça rajoute une étape, mais on s’assure alors de limiter les possibilités d’attaque sur la confidentialité de nos messages.  

2 – Désactiver le rendu HTML des courriels dans son client. Les vulnérabilités identifiées misent sur la séquence de lecture des différents éléments d’un courriel HTML par le client. Par exemple, certains de ces éléments peuvent être des images ou encore des styles de mises en page… Pour désactiver cette fonction, rendez-vous dans les paramètres de votre client et assurez-vous de décocher les cases – autant dans la composition du message que dans sa signature, s’il y a lieu – qui activent le format HTML. Si cette fonction est désactivée, pas de problème!

3 – Informez vos correspondants de cette vulnérabilité! Si un seul des correspondants se comporte de manière non sécuritaire, la confidentialité des messages peut être atteinte

4 – Faites religieusement vos mises à jour (eh oui, encore ça!).

5 – Utilisez un autre canal de communication confidentiel en attendant de confirmer que vos interlocuteurs savent comment mitiger les risques qu’amène cette vulnérabilité.

 

Il y a de bonnes chances que le client courriel que vous utilisez soit affecté – vous trouverez en page 11 du rapport un tableau identifiant les risques pour chaque client.


Pour en savoir plus :

 

https://efail.de

https://efail.de/efail-attack-paper.pdf

https://www.eff.org/fr/deeplinks/2018/05/not-so-pretty-what-you-need-know-about-e-fail-and-pgp-flaw-0

 

Ouaip, Google vous espionne.

L’article qui suit est en réponse à un article de Pier-Luc Ouellet, chroniqueur, dans les pages d’Urbania le 18 janvier 2018. L’article s’intitulait «OK GOOGLE, EST-CE QUE TU M’ESPIONNES?».

Continuer la lecture de Ouaip, Google vous espionne.