Cryptage bancaire... en option aux USA
Deux articles outrés, l'un signé Schneier, l'autre Mark Rasch sur le Security Focus : un récent jugement rendu aux Etats-Unis limite fortement, par jurisprudence, les obligations des banques en matière de protection des données personnelles de leurs clients. Un employé d'une institution financière a été victime d'un vol d'ordinateur. Mais l'ordinateur en question a été dérobé au domicile de l'employé en question, et contenait le détail des comptes de près d'un demi million de clients. Non seulement le Juge chargé de l'affaire n'a pas condamné la banque pour cette inquiétante exfiltration d'informations, mais en outre le fait que les données en question n'aient pas été cryptées n'a pas non plus constitué un motif de condamnation. Avec cette décision de justice, le Gramm-Leach-Bliley Act est quasiment relégué au rang de chiffon de papier. Durant le début de l'année 2005,nombre de banques ont connu divers accidents : bandes de backup égarées durant un transport, disques durs évaporés pendant une opération de maintenance, machines kidnappées par des braqueurs à la petite semaine... dans la majorité des cas, ces mésaventures étaient soit accidentelles, soit le fait de "petits criminels" la plupart du temps bien incapables de deviner la valeur des données situées sur les mémoires de masse. Dans la majorité des cas également, les données en question n'étaient pas protégées, pas même par un simple NAND couplé à un mot de cryptage de quelques lettres. Jusqu'à présent, nous autres, les consommateurs, avons eu pas mal de chance... victimes du hack Cardsystem mises à part. Mais il arrivera certainement un jour où même le monte-en-l'air débutant aura compris qu'un disque dur usagé peut contenir des trésors bien plus appréciables que la valeur résiduelle du disque lui-même. Il arrivera certainement un jour où apparaîtront des "fourgues", des receleurs et intermédiaires douteux, qui achèteront ces pièces pour ensuite les revendre à d'autres malfrats du binaire, plus spécialisés et plus efficaces que les seconds couteaux qui pratiquent le vol à la roulotte. C'est d'ailleurs déjà plus ou moins le cas dans certains pays situés de l'autre côté de l'ex-rideau de fer, voir sur le territoire US. S'il n'existe pas de remède miracle pouvant entraver cette évolution du crime informatique, il reste que des mesures simples peuvent être prises pour en contrer les effets immédiats. A commencer par le cryptage systématique des données en transit, la définition précise de règles de salubrité (policies) interdisant la "navigation sauvage" d'informations sensibles, et le respect intelligent des règles d'accès physique.
