Les appareils mobiles face aux cybermenaces

Transcription

1 Les appareils mobiles face aux cybermenaces Le Conseil des consommateurs du Canada a reçu un financement du Programme de contributions pour les organisations sans but lucratif de consommateurs et de bénévoles d Industrie Canada. Les opinions exprimées dans ce rapport ne sont pas forcément celles d Industrie Canada ou du gouvernement du Canada. Auteurs: Dennis C. Hogarth et Howard J. Deane, pour le Conseil des consommateurs du Canada Conseil des consommateurs du Canada, Juin 2013

2 2" Les"appareils"mobiles"face"aux"cybermenaces" Table of Contents RÉSUMÉ"..."4! INTRODUCTION"..."7! L objet!de!cette!recherche!...!7! Les!motifs!qui!ont!incité!le!Conseil!des!consommateurs!du!Canada!à!mener!cette!recherche!...!7! Le#risque#que#posent#notre#patrimoine,#notre#espace#numérique#et#notre#sous2estimation#du#danger#...#7! Les#capacités#et#l utilisation#accrue#des#appareils#mobiles#et#la#dépendance#à#l égard#de#ces#appareils#...#7! La#prise#de#conscience#des#consommateurs#...#8! Le#risque#est#élevé,#mais#l impact#demeure#faible#...#8! Dans!l intérêt!du!consommateur!...!8! Les#droits#et#les#devoirs#des#consommateurs#(et#la#vie#privée)#...#8! LA"RECHERCHE"..."11! La!portée!du!projet!...!11! Méthodologie!...!11! La#recherche#initiale#...#11! La#recherche#originale#...#12! L environnement,!les!agents!de!développement!et!les!tendances!...!12! Les#capacités#...#13! Les#données#démographiques#...#13! La#dépendance#...#14! La#nature#humaine#entre#en#jeu#exposant#le#consommateur#à#des#risques#...#15! Les!acteurs!clés!...!16! Les#développeurs#de#logiciels#de#sécurité#...#16! Les#développeurs#d applications#...#17! Les#organismes#de#réglementation#...#18! Les#développeurs#sur#plateformes#...#22! Fournisseurs#de#service#de#télécommunication#sans#fil#...#23! Les#vendeurs#au#détail#d appareils#...#25! Mesures#incitatives#pour#atténuer#les#effets#...#26! Plateformes!...!26! Android#...#27! L ios#de#apple#...#29! BlackBerry#...#31! Les!menaces!...!32! Grille#d analyse#des#répercussions#:#première#partie#...#33! La!perte!et!l exposition!de!données!...!41! Les#pertes#financières#...#41! LA!SENSIBILISATION!DES!CONSOMMATEURS!AUX!DIFFÉRENTES!MENACES!...!45! Les#groupes#de#discussion#sur#les#menaces#...#45! Conclusion#des#groupes#de#discussion#...#49! Le#point#de#vue#du#Réseau#de#consultation#de#l intérêt#public#...#49! Le#point#de#vue#des#répondants#clés#sur#la#sensibilisation#des#consommateurs#...#50! Les#dernières#recherches#...#51! Les#mesures#d atténuation#...#51! La#grille#d analyse#des#répercussions#sur#les#consommateurs# #3 e #partie#...#53!

3 Les"appareils"mobiles"face"aux"cybermenaces" 3" CONCLUSIONS"..."55! LES!MENACES!...!55! La!réglementation!...!57! La!sensibilisation,!la!compréhension!et!le!comportement!des!consommateurs!...!58! LES"RECOMMANDATIONS"..."60! Les!consommateurs!...!60! Les#mesures#de#base#...#60! Par#processus#...#60! La!réglementation!...!62! Les!fournisseurs!de!services!...!64! Les#fournisseurs#de#plateformes#...#64! Les#développeurs#d applications#...#65! Les#développeurs#de#logiciels#de#sécurité#...#66! Les#entreprises#de#télécommunications#sans#fil#...#66! Les!groupes!de!défense!des!consommateurs!...!67! Finalement,#...#67! APPENDICES"..."68! Appendix"I"M"Recent"Relevant"Research"..."Error!!Bookmark!not!defined.! Consumer#Behaviour,#Awareness#and#Mitigation#...#Error!%Bookmark%not%defined.! The#Threats#...#Error!%Bookmark%not%defined.! Appendix"II"M"Public"Interest"Network"Questionnaire"..."Error!!Bookmark!not!defined.! Reluctance#to#mitigate#loss#and#exposure#risk#...#Error!%Bookmark%not%defined.! Concern#re#loss/theft#of#device#vs.#intrusive#threats#...#Error!%Bookmark%not%defined.! A#specific#role#for#wireless#carriers#...#Error!%Bookmark%not%defined.! The#regulators#role#...#Error!%Bookmark%not%defined.! Role#of#Consumer#Groups#...#Error!%Bookmark%not%defined.! The#consumers#role#and#responsibilities#...#Error!%Bookmark%not%defined.! Appendix"III" "Key"Informant"Guidelines"Excerpts"..."Error!!Bookmark!not!defined.! Emerging!Cyber!Threats!on!Mobile!Devices!...!Error!"Bookmark"not"defined.! Introductory#Questions#...#Error!%Bookmark%not%defined.! Risks#of#Mobile#Devices#...#Error!%Bookmark%not%defined.! Consumer#Knowledge#...#Error!%Bookmark%not%defined.! Product#Differences#...#Error!%Bookmark%not%defined.! Cyber#Threats#to#the#Consumer#...#Error!%Bookmark%not%defined.! Insights#on#What#Those#Involved#Can#Do#...#Error!%Bookmark%not%defined.! What#Do#the#Experts#Do?#...#Error!%Bookmark%not%defined.! Final#Questions#...#Error!%Bookmark%not%defined.! Key#Informants#...#Error!%Bookmark%not%defined.! Appendix"IV" "Focus"Groups"..."Error!!Bookmark!not!defined.! Focus!Groups!Discussion!Guide!!September!2012!(Modified)!...!Error!"Bookmark"not"defined.!

4 4" Les"appareils"mobiles"face"aux"cybermenaces" RÉSUMÉ" «Ma première pensée va au coût de remplacement.» 1 «Nous conservons tellement d information dans nos téléphones intelligents. Mon fil a récemment perdu le sien pendant une heure et il est pratiquement devenu hystérique lorsqu il a réalisé tout le danger que cela représentait. Leçons apprises.» 2 «La facilité d utilisation est une excellente chose, mais nous devons parfois reconnaître que la sécurité a un prix.» 3 Le téléphone intelligent est un appareil mobile puissant, éminemment performant, utile et productif, en particulier lorsqu il est jumelé à un consommateur averti. Cependant, lorsque vous jumelez un consommateur moyen à un monde obscur marqué par l émergence des cybermenaces, l avenir semble moins reluisant et plutôt incertain. Le Conseil des consommateurs du Canada a entrepris d examiner cet univers des téléphones intelligents et des cybermenaces courantes et émergentes. Le Conseil souhaite ainsi évaluer les répercussions sur les consommateurs et connaître le niveau de compréhension et de conscience que ces derniers ont par rapport à ces menaces, comment ils leur font face et quelles sont les actions à poser pour atténuer et gérer ces menaces. Bien que nous ayons fait plusieurs constatations intéressantes, une ressort de l étude plus que les autres : La majorité des cybermenaces qui affectent les consommateurs au cours des trois années que durent en moyenne, au Canada, les contrats d engagement auprès d un fournisseur de téléphones intelligents émane des consommateurs eux-mêmes. Ils tentent également de les prévenir eux-mêmes. Plusieurs consommateurs peuvent toutefois se trouver, à leur insu, dans une situation de risque relativement à la sécurité et à la confidentialité de leurs renseignements personnels et sensibles. De plus, de manière générale, ils omettent de poser de simples gestes peu coûteux pour éviter la perte de leurs renseignements ou leur divulgation. L univers des téléphones intelligents se révèle très dynamique. Plusieurs facteurs qui ont des répercussions sur les consommateurs y sont pour quelque chose, notamment : L augmentation impressionnante des capacités des téléphones intelligents modernes, aujourd hui devenus de réels ordinateurs de poche, capables de stocker des quantités de données de nature personnelle ou d autres types de renseignements comme peuvent le faire plusieurs ordinateurs de bureau ou portatifs; L augmentation rapide du niveau de dépendance des consommateurs qui vaquent à leurs activités quotidiennes et dont le nombre augmente aussi rapidement; La nature humaine, avec toutes ces tendances que les gens ont à exposer leurs renseignements personnels à un risque de perte ou de divulgation soit par négligence, soit par ignorance, et, inversement, pour les personnes malicieuses qui exploitent cette crédulité. En d autres mots, c est 1 Focus group participant 2 Public Interest Network survey respondent 3 Martin Hillger, IT Security Consultant, Key Informant Interview

5 Les"appareils"mobiles"face"aux"cybermenaces" 5" cette tendance séculaire d ignorer des menaces imminentes jusqu à ce qu elles se concrétisent, et pour les autres de profiter de la situation pour en tirer un gain personnel par des moyens inappropriés, qui prévaut. La recherche a conduit à d autres observations intéressantes : Les personnes qui sont conscientes de la forte probabilité des menaces prennent souvent des mesures appropriées pour les contrer et sont moins susceptibles d en subir les contrecoups. Photos, informations bancaires et mots de passe sont les types de consommateurs d'information sont les plus préoccupés. Les fournisseurs de services de télécommunication sans fil et les détaillants d appareils mobiles se trouvent dans une position clé. Les efforts qu ils déploient, appuyés et aidés des fournisseurs de plateformes et possiblement des organismes de réglementation, peuvent contribuer de manière importante à réduire les effets de la forte probabilité d occurrence de cybermenaces, provenant principalement du mauvais fonctionnement du matériel informatique ou des logiciels, d une mauvaise utilisation de la part de l utilisateur ou de la perte ou du vol de l appareil mobile. Les cybermenaces électroniques dont l opération reste secrète (logiciel malveillant, piratage à distance, etc.) entraînent très peu de répercussions pour le consommateur dont le niveau de conscience relativement à ces menaces est faible et le degré de préparation pour leur faire face se reflète dans leurs comportements. Ils leur portent moins attention qu ils ne le devraient. La probabilité que ces menaces se concrétisent est faible, mais le potentiel de la force de l impact est élevé. Nous pensons que les consommateurs prennent ces menaces plus à la légère parce qu ils n en ont pas peur... encore. Les consommateurs n agissent toujours pas par réflexe pour prévenir ces menaces. Ce n est certainement pas aussi facile que de réduire les chances d échapper un téléphone intelligent dans la toilette, de le perdre ou encore de l exposer à un risque de vol. Maintenant que nous sommes arrivés à ces conclusions, une question logique serait : que devrions-nous faire? La réponse dépend de qui vous êtes. Les consommateurs ont besoin de connaître quels renseignements en leur possession s exposent à des risques de perte ou de divulgation, quelles en sont les répercussions et quel est leur niveau de tolérance quant à ces risques. Ils doivent comprendre les risques qui pèsent sur eux et savoir comment agir en conséquence, en prévision d attaques possibles et en réaction à des attaques perpétrées contre eux. Les consommateurs qui conservent des renseignements particulièrement sensibles ou importants sur leurs appareils, ou qui sont préoccupés par la perte ou la divulgation de leurs données, devraient maintenir un niveau de défense accru contre les menaces de faible probabilité comme une infection par un logiciel malveillant ou d autres formes de piratage à distance. La grille d analyse des répercussions comprise avec cette recherche peut aider un consommateur qui cherche à se protéger dans cet environnement mondial mouvementé. Les fournisseurs de services de télécommunication sans fil et les détaillants d appareils mobiles ont besoin de connaître l impact qu ils ont sur les consommateurs et ce qu ils peuvent faire pour aider ces derniers, plus particulièrement au moment de la vente d un appareil. Il faut que Apple (ios), Google (Android) et BlackBerry sachent que le fait de fournir des contrôles et d utiliser des procédures d authentification et des capacités logicielles et matérielles ne suffit pas. Les paramètres par défaut pour ces mesures préventives devraient être activés, et non le contraire, comme c est habituellement le cas quand les consommateurs reçoivent leur appareil. Ils doivent s assurer que les fournisseurs de services de télécommunication sans fil et, dans certains cas, les manufacturiers qui agissent au nom des fournisseurs de plateformes, obtiennent les mises à jour rapidement pour éteindre toute flambée d activités malveillantes, et éviter que les appareils

6 6" Les"appareils"mobiles"face"aux"cybermenaces" s exposent à des risques. Ils devraient également veiller à ce que les consommateurs puissent prendre des décisions relativement aux procédures d authentification externe ou intégrée. Trop de consommateurs laissent tout ce qui se trouve sur leur téléphone intelligent non protégé, alors que, s ils avaient le choix, ils protégeraient ce qui leur importe le plus et garderaient ouvertes les applications qu ils utilisent fréquemment et qui courent peu de risques. Les organismes de réglementation ont besoin de savoir comment ils peuvent aider les consommateurs, à court terme, à se protéger contre les cybermenaces dont la probabilité d occurrence est élevée et, à long terme, à veiller à ce qu il n y ait pas un effet notable en aval résultant des cybermenaces potentiellement lancées à grande échelle. À bref délai, ils peuvent créer un réseau d appareils volés ou perdus, créant ainsi des conditions favorables pour la mise en place de mesures pour la mise hors de fonction des appareils, réduisant du coup la probabilité de vol, puisqu il y aurait moins d attrait pour les téléphones volés. Ils pourraient travailler avec des organisations, particulièrement les fournisseurs de services de télécommunication sans fil, par l entremise des cadres réglementaires déjà en place, et encourager (ou réglementer/exiger/réguler, si nécessaire) des façons par lesquelles ces fournisseurs peuvent remplir leur rôle en tant que conseillers de confiance, comme les consommateurs les voient. Si les fournisseurs de plateformes ne peuvent trouver la voie à suivre pour aider les consommateurs à se protéger facilement, il est possible que les organismes de réglementations doivent intervenir et examiner les options possibles plus attentivement. Dans leur rôle de représentants, les groupes de défense des consommateurs peuvent garder un oeil sur les organismes de réglementation et les fournisseurs de services sans fil et vérifier leur efficacité et encourager leurs efforts à vouloir l améliorer. Que faut-il retenir de tout cela? Que pouvons-nous faire dans l immédiat pour produire un effet des plus bénéfiques? Cela repose sur les épaules des consommateurs, dont bon nombre devraient exercer une responsabilité accrue pour mieux se protéger contre ces menaces. Ils devraient également envisager les actions suivantes : Évaluer leur tolérance au risque, leur profil de répercussions et les jumeler au téléphone qu ils achètent et au risque qu ils désirent limiter. Verrouiller le téléphone intelligent avec un mot de passe. Acheter un boîtier robuste. Faire régulièrement des copies de sauvegarde. Ne pas se connecter à des réseaux Wi-Fi publics inconnus. «Penser avant de cliquer» sur un lien ou un courriel qui semble louche. Se faire peur. Faire semblant d avoir perdu son téléphone intelligent. Qu est-ce qu une personne curieuse y découvrirait? Qu est-ce que ses parents ou ses enfants diraient s ils le trouvaient? Les entreprises doivent reconnaître qu elles risquent de perdre à long terme si elles ne réussissent pas à investir adéquatement dans des moyens de contrôle des risques cybernétiques pour les consommateurs. Les entreprises qui retirent des bénéfices de la distribution des téléphones intelligents et des produits connexes devraient être tenues de fournir des ressources pour réduire les risques pour les consommateurs et autres personnes qui utilisent les produits, que ce soit en développant des dispositifs de sécurité plus performants ou avec des programmes d éd

7 Les"appareils"mobiles"face"aux"cybermenaces" 7" INTRODUCTION" L objet"de"cette"recherche" Cette recherche a pour but : D identifier les tendances et les risques actuels et émergents liés à l incidence des cybermenaces sur l utilisation d appareils mobiles intelligents; De déterminer le niveau de conscience et de compréhension qu ont les consommateurs canadiens de ces risques et comment, si cela est possible, ils peuvent atténuer de tels risques; De mener à des recommandations relatives aux actions que peuvent exercer les consommateurs, les organismes de réglementation et de défense des consommateurs, les concepteurs de plateformes et les développeurs d application afin de protéger les consommateurs canadiens. Les"motifs"qui"ont"incité"le"Conseil"des"consommateurs"du" Canada"à"mener"cette"recherche" LE"RISQUE"QUE"POSENT"NOTRE"PATRIMOINE,"NOTRE"ESPACE"NUMÉRIQUE"ET"NOTRE"SOUSM ESTIMATION"DU"DANGER" Dans le contexte d une économie mondiale affaiblie, le Canada est un pays riche. Il est un chef de file dans l utilisation de l Internet et de la technologie. Il se caractérise également par sa propension à l échelle du pays à faire confiance. Ces facteurs peuvent mener les consommateurs à sous-estimer les problèmes de sécurité. Les cybercrimes exercent un puissant attrait. Les cybercriminels qui mènent des activités sur cette toile universelle, sans frontière et difficile à contrôler, peuvent facilement exécuter leur travail de manière assez sécuritaire; lorsqu ils sont trouvés coupables, ils écopent souvent d une peine minimale ou très légère. Les enjeux sont de taille. La communauté du renseignement aux États-Unis estime que les revenus provenant d activités cybercriminelles dépassent ceux de la vente de drogues illicites. Dans le contexte mondial de la cybercriminalité et en raison du patrimoine, de l espace numérique et de la sousestimation du danger des consommateurs canadiens, de réelles menaces pèsent sur eux. LES"CAPACITÉS"ET"L UTILISATION"ACCRUE"DES"APPAREILS"MOBILES"ET"LA"DÉPENDANCE"À" L ÉGARD"DE"CES"APPAREILS" Les appareils mobiles sont des appareils personnels très puissants qui contiennent autant de renseignements qu un ordinateur personnel fixe. Ils sont dotés de systèmes de localisation, ils stockent des photos, des vidéos, des fichiers de mots de passe et d autres renseignements sensibles. L utilisation de ces appareils croît à un taux à deux chiffres. 4 Ce qui a commencé comme une catégorie de téléphones cellulaires comprend aujourd hui des téléphones intelligents, des tablettes graphiques et d autres Canadian Wireless Total Ownership Experience Study. Web. <

8 8" Les"appareils"mobiles"face"aux"cybermenaces" appareils entre les deux, alimentés par les utilisations possibles que pourraient en faire un plus grand nombre de Canadiens pour réaliser des transactions quelconques. Les Canadians ne sortent plus de leur maison sans eux. LA"PRISE"DE"CONSCIENCE"DES"CONSOMMATEURS" Dans leur empressement à vouloir utiliser des téléphones intelligents, les consommateurs s immiscent dans un environnement mondial doté de peu de règles, s exposant ainsi à toutes sortes de menaces. Parfaitement inconscients du danger, ils prêtent leurs appareils mobiles qui contiennent des courriels, des documents, des photos, des images et d autres renseignements personnels de nature sensible. La perte ou la divulgation de ces renseignements pourrait porter atteinte à leur réputation et les rendre vulnérables à une extorsion ou encore entraîner une perte financière. LE"RISQUE"EST"ÉLEVÉ,"MAIS"L IMPACT"DEMEURE"FAIBLE" Les plateformes qu utilisent le BlackBerry et le iphone ont ouvert la voie à l environnement ouvert, et plus populaire, qu offre le système Android de Google. L entreprise en cybersécurité McAfee a récemment désigné Android comme étant la plateforme technologique la plus populaire pour l utilisation de logiciels malveillants citant en exemple une nouvelle méthode pour dérober des renseignements sur un usager en enregistrant ses appels téléphoniques. Cela représente maintenant une préoccupation majeure pour plusieurs organisations de services de sécurité. De plus, les consommateurs qui se servent des appareils ios et BlackBerry sont de plus en plus exposés à des menaces similaires, mais ils ne cherchent pas à atténuer ces risques. Le fait de montrer aux Canadiens la gravité de ces menaces fournira l élan requis pour atténuer ces menaces et gérer les risques. Dans"l intérêt"du"consommateur" Les facteurs tels l amélioration des capacités des appareils, un terrain technologique fertile aux menaces, un taux de pénétration accrue des appareils et un degré de dépendance jamais vu à l égard de ces appareils entrent tous en jeu et pourraient entraîner d importantes répercussions pour le consommateur. La clé réside dans les conséquences sur les droits et les responsabilités du consommateur. LES"DROITS"ET"LES"DEVOIRS"DES"CONSOMMATEURS"(ET"LA"VIE"PRIVÉE)" En 1962, dans un discours historique, John F. Kennedy a présenté quatre droits des consommateurs. Le droit à la sécurité Le droit à l information Le droit au choix Le droit d être entendu 5 En 1985, l Organisation des Nations Unies, par l entremise des Principes directeurs des Nations Unies pour la protection du consommateur, a étendu le champ d application de ces droits à huit. Ces huit droits 5 John F. Kennedy: Special Message to the Congress on Protecting the Consumer Interest. (n.d.). John F. Kennedy: Special message to the congress on protecting the consumer interest. [Web page] Retrieved from

9 Les"appareils"mobiles"face"aux"cybermenaces" 9" fondamentaux et le droit à la vie privée se trouvent au coeur du centre d intérêt du Conseil des consommateurs du Canada pour les droits et les responsabilités des consommateurs. 6 Les recherches que mène le Conseil portent sur ces neuf droits fondamentaux. En résumé, six des huit droits initiaux s avéraient pertinents à cette recherche, tout comme le droit à la vie privée. Le tableau qui suit montre la pertinence actuelle de chacun des huit droits et devoirs des consommateurs et celle de la vie privée. Dans ce tableau, la pertinence concerne la portée de ce projet. DROITS"ET"RESPONSABILITÉS"DES"CONSOMMATEURS" Droits et responsabilités des consommateurs Satisfaction des besoins fondamentaux Le droit d avoir accès à des produits et services essentiels. La responsabilité d utiliser ces produits et services de façon appropriée. S assurer que les besoins fondamentaux sont satisfaits. Sécurité Le droit d être protégé contre les produits et les services qui constituent une menace pour la vie et la santé. La responsabilité de lire les modes d emploi et de prendre des précautions. Choisir de l équipement de sécurité, utiliser les produits selon les instructions et enseigner la sécurité aux enfants. Information Le droit de connaître les faits qui permettent des choix informés et d être protégé contre des publicités ou un étiquetage trompeurs. La responsabilité de trouver et d utiliser l information disponible. Lire les étiquettes, suivre les instructions et faire une recherche avant d acheter. Choix Le droit de pouvoir choisir des produits et des services à des prix concurrentiels, avec l assurance d une qualité satisfaisante. La responsabilité de faire des choix informés et responsables. Résister à la vente sous pression et comparer avant d acheter. Représentation Les appareils mobiles face aux cybermenaces Les cybermenaces exposent chaque personne à d importants risques en raison de la perte ou de la divulgation de renseignements financiers cruciaux ou de renseignements personnels de nature sensible. Les consommateurs peuvent être menacés si une personne tente de voler leur téléphone intelligent. La responsabilité du consommateur se limite à savoir comment utiliser son téléphone intelligent de manière sécuritaire afin de pouvoir gérer et atténuer les risques au besoin. Les consommateurs doivent être en mesure d évaluer le risque lié aux menaces en fonction de l information que les fournisseurs de logiciels et de matériel informatique leur donnent. La majorité de l information dont les consommateurs ont besoin pour se protéger contre les cybermenaces n est pas disponible dans l immédiat. 6 Consumers Council of Canada Charter of Consumer Rights. (n.d.). Consumers Council of Canada charter of consumer rights. [Web page] Retrieved from

10 10" Les"appareils"mobiles"face"aux"cybermenaces" Droits et responsabilités des consommateurs Le droit de représenter les intérêts des consommateurs dans la prise de décisions. La responsabilité de faire connaître ses opinions. Devenir membre d une association comme le Conseil des consommateurs du Canada pour se faire entendre et encourager les autres à participer. Réparation Le droit d être indemnisé pour des déclarations trompeuses, des produits de piètre qualité ou des services médiocres. La responsabilité d exiger de la qualité. Loger des réclamations et refuser d accepter un travail insatisfaisant. Éducation des consommateurs Le droit d acquérir les connaissances et les aptitudes qui permettent de devenir un consommateur averti. La responsabilité de profiter des occasions offertes aux consommateurs. Assister à des séminaires et à des ateliers, et encourager l éducation des consommateurs dans les écoles. Environnement sain Le droit d évoluer dans un environnement qui ne constitue pas une menace ou un danger et qui permet de vivre dans la dignité et le bien-être. La responsabilité de minimiser les dommages à l environnement par le choix et l utilisation judicieux de produits et de services. Réduire les déchets, et réutiliser et recycler autant que possible. Confidentialité des renseignements personnels Le droit à la protection de la vie privée, particulièrement à la confidentialité des renseignements personnels. La responsabilité de se renseigner sur l usage qui sera fait de l information et la responsabilité de ne dévoiler des renseignements personnels que si c est nécessaire. Les appareils mobiles face aux cybermenaces Cela est important, puisque la notion de sécurité est souvent mise de côté, surtout que les consommateurs n ont pas tendance à y penser comme ils le font quand ils achètent autre chose. Les détaillants peuvent offrir aux consommateurs de l information et des capacités qui les aideront à plaider leur cause pour obtenir réparation du préjudice subi. Voici la clé pour les cybermenaces qui guettent les mobiles. Dans ce cas-ci, les responsabilités priment les droits. Les consommateurs peuvent se renseigner eux-mêmes sur les questions qui demeurent simples, mais ils auront probablement besoin d aide pour traiter les questions plus complexes (par ex. les logiciels malveillants et le piratage). Les consommateurs doivent se renseigner eux-mêmes sur la nature des menaces, idéalement en fonction de la situation qui leur est propre. À ceux qui choisissent d exercer cette responsabilité, le téléphone intelligent peut fournir une quantité considérable de renseignements liés à l environnement. Ces renseignements peuvent servir à choisir des produits ou des services plus respectueux ou appropriés sur le plan de l environnement. Très pertinent. Les téléphones intelligents peuvent contenir une importante quantité de renseignements personnels. Les consommateurs doivent prendre des mesures pour protéger leur vie privée et connaître la nature des renseignements qu ils fournissent. Ils doivent évaluer le niveau de risque d atteinte à la vie privée qu ils acceptent d atteindre. Ils auront possiblement besoin d utiliser certains outils pour les aider.

11 Les"appareils"mobiles"face"aux"cybermenaces" 11" LA"RECHERCHE" La"portée"du"projet" Cette recherche porte sur les cybermenaces qui guettent les appareils mobiles intelligents dont se sert le consommateur canadien moyen, et plus particulièrement sur : L information que stocke le consommateur sur ses appareils mobiles; Les risques de voir les données se perdre ou être divulguées en raison de la nature des cybermenaces actuelles et émergentes, La prise de conscience du consommateur à l égard de ces menaces et des risques qui en résultent; Les méthodes d atténuation des risques. Nous avons sciemment exclu le risque pour les entreprises de la portée de l étude. Toutefois, nous avons inclus les risques pour les consommateurs dont l employeur ou l entreprise fournit l appareil mobile. Les appareils mobiles comprennent les téléphones intelligents, les tablettes et les téléphones cellulaires. Aux fins de la présente étude, nous nous pencherons sur trois systèmes d exploitation classés parmi les premiers sur le marché des téléphones intelligents : ios de Apple; BlackBerry; Android de Google. Cette recherche ne propose pas une analyse détaillée de tous les téléphones intelligents, mais dresse plutôt le portrait des menaces et des problèmes qui pèsent sur les téléphones intelligents de façon générale. Les menaces dont nous avons tenu compte sont : Le fonctionnement défectueux du matériel, du logiciel ou qui résulte d une mauvaise utilisation La perte ou le vol d un appareil Le piratage à proximité immédiate Le cyberharcèlement Le piratage informatique à distance Méthodologie" LA"RECHERCHE"INITIALE" La recherche initiale se concentrait d abord sur l étude de la documentation disponible en ligne et imprimée et des entrevues menées auprès de répondants clés sur le sujet des appareils mobiles face aux cybermenaces afin d identifier les problèmes et obtenir un aperçu général des intervenants, de l environnement et de l industrie. Nous avons procédé à une revue de la littérature pour mieux cadrer la portée de la recherche. Nous avons brossé l historique et donné un aperçu global de l environnement, des agents de développement, des problèmes et des intervenants de l industrie. Nous avons également analysé des rapports imprimés, des rapports de recherche, des sites Internet de miniapplications, des sources d Internet et les médias. Nous avons élaboré une grille d analyse des répercussions centrée sur le consommateur. Nous l avons établie en fonction des problèmes et des critères recueillis auprès du milieu universitaire, en ligne, dans la documentation examinée et au cours des processus d analyse de risque. Nous avons porté une

12 12" Les"appareils"mobiles"face"aux"cybermenaces" attention particulière à aider les consommateurs à agir en tant que consommateurs contribuant de manière productive au marché, et surtout en ce qui a trait à la protection de leurs renseignements personnels. Nous nous sommes appuyés sur des entrevues avec des répondants clés afin d établir les critères, analyser les résultats et élaborer les recommandations. LA"RECHERCHE"ORIGINALE" Nous avons modifié la grille en cours de route quant à l approche, à mesure que les données entraient. La grille comprend trois parties : 1. Un premier aperçu des cinq catégories de menaces; 2. Une analyse des pertes et des probabilités associées à ces menaces; 3. Les activités d atténuation en lien avec chaque menace. Nous avons fait appel aux entreprises Environics et Research House pour fournir et gérer les groupes de discussions. Les consultations ont eu lieu au mois de septembre 2012 et se sont déroulées sur deux jours à Toronto et à Montréal. Trois des consultations se sont déroulées en anglais, puis l autre en français. Les échantillons assuraient une représentativité adéquate en termes d origine, de sexe et d âge. Le choix des participants s est fait spécifiquement en fonction d aspects en lien avec le projet, incluant leurs secteurs d emploi que ce soit en marketing, en relations publiques, en études de marché ou des postes similaires en publicité. La fonction de ce groupe consistait à définir : la prise de conscience, l expérience directe et les préoccupations en lien avec chacune des menaces; la méthode d atténuation les renseignements exposés à un risque les réflexions sur l apport du gouvernement, des développeurs et des entreprises. Nous nous sommes appuyés sur les points de vue des répondants clés pour nous aider à encadrer la recherche, mettre en évidence certains problèmes de fond et le sujet à étudier et à orienter les recommandations. Nous avons publié dans ce rapport, la traduction des commentaires qui se démarquaient par leur pertinence et leur importance. Nous avons conçu un guide et un plan pour orienter et préparer les répondants et élaboré une série exhaustive et pertinente de questions portant sur les effets sur les consommateurs. Nous avons également fait appel au Réseau de consultation de l intérêt public, propriété du Conseil qui en assure également la gestion, par la voie de six questions spécifiques, dont le résumé des conclusions figure dans ce rapport et les résultats détaillés apparaissent en annexe. Ce réseau regroupe des consommateurs avertis et des personnes qui s impliquent activement dans leurs communautés. Les membres de ce réseau s y sont joints volontairement et sont prêts à répondre à des sondages portant sur les enjeux touchant les consommateurs. Les membres potentiels doivent remplir un court questionnaire relatif à leur profil démographique. L ensemble de la recherche visait à produire un premier inventaire des risques et des problèmes afin de construire la grille d analyse de répercussions centrée sur les consommateurs comportant les effets potentiels sur eux. L environnement,"les"agents"de"développement"et"les" tendances" «La réalité est telle que le téléphone intelligent est devenu un centre d information et ce rôle ne cesse de croître. Le nombre d applications pour ces appareils

13 Les"appareils"mobiles"face"aux"cybermenaces" 13" LES"CAPACITÉS" augmente rapidement et la tendance veut que les connexions s amplifient et qu il y ait une augmentation du traitement des renseignements de nature délicate.» 7 «Les clients des réseaux de télécommunication sans fil essaient de tirer le maximum de leurs téléphones intelligents avec les applications mobiles et les nombreuses fonctionnalités non disponibles sur les téléphones traditionnels, ce qui permet d expliquer le virage pour les téléphones intelligents.» 8 Les nouvelles technologies contribuent à accroître la capacité des téléphones intelligents, créant des appareils mobiles plus puissants que certains ordinateurs sortis sur le marché il y a cinq ans. Ces technologies comprennent : Une variété de technologies de communications omniprésentes sans fil qui roulent à des vitesses considérables (communication en champ proche, Bluetooth, cellulaire haute-vitesse, réseau Wi-Fi public) Miniaturisation Stockage dans les nuages et mise en mémoire locale GPS Des miniapplications pour toutes les occasions, qui remplacent parfois des fonctions qui auraient coûté $ ou plus il y a dix ans. Des détecteurs de mouvements ou thermiques Les téléphones intelligents peuvent accéder à Internet à partir de la majorité des villes au Canada. Il est possible de stoker, sur des appareils mobiles, des photographies, des mots de passé, des courriels, du texte, les données de localisation (en temps réel et passé), des films, un journal intime, un accès à des comptes bancaires, des données infoachats; correspondant pour la plupart à des renseignements sensibles. Les gens considèrent leurs téléphones intelligents comme une prolongation d eux-mêmes. Comme l a mentionné un des répondants : «Rien n est plus personnel aujourd hui que le téléphone intelligent d une personne. L information qui s y trouve est le reflet de ses intérêts et des activités qu elle poursuit de façon régulière.»9 LES"DONNÉES"DÉMOGRAPHIQUES" L utilisation de l Internet et des téléphones intelligents continue d augmenter rapidement à travers le monde. En 2012, plus d un tiers de la population mondiale était en ligne 10, soit une augmentation de 8 % 7 Technology Advisory Council, Security and Privacy Work Group. Consumer Education Recommendations. Federal Communications Commission, December, Print Canadian Wireless Total Ownership Experience Study. Web. < 9 Justin Morehouse, Co-Founder and Principal, GuidePoint Security, LLP, Key Informant Interview 10 INFORMATION SECURITY Better Implementation of Controls for Mobile Devices Should Be Encouraged. United States Government Accountability Office, September, Print.

14 14" Les"appareils"mobiles"face"aux"cybermenaces" en dix ans. Le nombre de téléphones intelligents en circulation devrait atteindre deux milliard d ici % pour cent des Canadiens ont téléphones intelligents, contre 36% en Les organisations canadiennes offrent aux consommateurs des fonctions opérationnelles, par l entremise des téléphones intelligents, renforçant ainsi leur compétitivité et leur efficacité à l interne, même si le fardeau de la charge revient aux consommateurs. Les entreprises vont probablement continuer à influencer les consommateurs pour qu ils utilisent des téléphones intelligents, car cela réduira vraisemblablement leurs dépenses de gestion. Il se peut que le risque, dans son ensemble, augmente pour d autres raisons. Par exemple, au Canada, la plateforme BlackBerry, considérée sécurisée, perd du terrain au détriment d Android, la dernière plateforme à faire son entrée sur le marché et la moins sécurisée dans une certaine mesure. Au Canada, la part de marché du BlackBerry a chuté de 42 %, en 2011, à 33 % aujourd hui. 13 Il est possible que certains consommateurs ne puissent se payer la technologie la plus récente en termes de téléphonie intelligente et qu ils conservent des appareils plus vieux et moins sécuritaires qui ne permettent pas l achat de logiciels de sécurité. La tendance actuelle veut que plusieurs consommateurs, surtout les plus jeunes, changent leur ordinateur personnel pour des téléphones intelligents sans perdre d importantes fonctionnalités. LA"DÉPENDANCE" «Apple conçoit des produits que les gens ne savaient pas qu ils voulaient, et maintenant ils ne peuvent plus s en passer.» Tim Cook, PDG, Apple Inc.14 «De façon spectaculaire, les utilisateurs d appareils mobiles qualifient leurs appareils comme le gadget en leur possession qui leur importe le plus» 15 Un grand nombre de personnes qui utilise des appareils qui accomplissent davantage de fonctions, peu importe où elles se trouvent, ne peut faire autrement que d accroître leur dépendance envers ces appareils. Une étude récente du centre de recherche PEW sur les adolescents et la technologie révélait que, chez les jeunes, l adoption des téléphones intelligents avait augmenté considérablement et que l accès Internet par mobile est chose courante. Un adolescent sur quatre accède à l Internet surtout par l entremise de son téléphone "Strategy Analytics: Worldwide Smartphone Population Tops 1 Billion in Q Business Wire." Web < Canadian Wireless Total Ownership Experience Study. Web. < Canadian Wireless Total Ownership Experience Study. Web. < 14 Cook: The Only Thing Apple Won t Do Is Release a Lousy Product Macworld." Web < Goldman Sachs Technology and Internet Conference, February 2013 CHECK VERBATIM 15 "The Numbers Are In: UK Mobile Users Love Phones Yet Few Take Steps to Protect Them the Official Lookout Blog." Web < 16 Madden, Mary, Amanda Lenhart, Maeve Duggan, Sandra Cortesi, and Urs Gasser. Teens and Technology Pew Research Center, The Berkman Center for Internet & Society at Harvard University, March 13, Print.

15 Les"appareils"mobiles"face"aux"cybermenaces" 15" Les membres de nos groupes de discussion ont clairement exprimé le fait que les gens ne se départent pas de leurs appareils. «Maintenant, je dépends tellement de mon téléphone. Je pourrais être pris quelque part; c est ma connexion au monde.» 17 Dans une récente étude menée au Royaume-Uni, XX % des répondants ont dit que le premier gadget qu ils sauveraient de leur maison en feu serait leur téléphone intelligent. Pour ce qui est de ce qu ils jugeaient être des renseignements importants, 35 % d entre eux ont répondu leurs contacts, 32 % leurs photos et 9 % leurs textos ou leurs messages vocaux. 18 La majorité des répondants se disait inquiète quant à la possibilité de perdre ses renseignements personnels, mais peu d entre eux font quoi que ce soit pour les protéger. 19 Il est peu probable que cette tendance s inverse puisque la dépendance des consommateurs continue de croître, la ligne entre l utilisation du téléphone intelligent par affaire et pour usage personnel se fait de plus en plus fine et plusieurs consommateurs choisissent un appareil pour ces deux fins. Le phénomène «Apportez votre propre appareil» s avère être une possibilité intéressante pour les consommateurs et pour les entreprises, qui comporte toutefois certains risques. Puisque certaines industries attirent l intérêt des cybercriminels plus que d autres, il y a lieu de croire que ce phénomène pourrait représenter un important risque aux entreprises et aux personnes. Aussi, certaines organisations ont récupéré leurs téléphones, laissant les employés sans leurs données. 20 LA"NATURE"HUMAINE"ENTRE"EN"JEU"EXPOSANT"LE"CONSOMMATEUR"À"DES"RISQUES" «Le manque de connaissance des utilisateurs relativement à l exposition au risque et l insuffisance de dispositifs de sécurité mis en place sur ces plateformes conduisent à un terrain de prédilection pour les cybercriminels.» 21 Le comportement terne du consommateur Les consommateurs affichent souvent un comportement désinvolte et imprudent, comme l ignorance, la paresse et un manque de conscience à l égard de leurs appareils et l information qu ils contiennent. Ils sont sujets à la perte d information ou au vol ou ils s exposent à d autres grands risques. Cela combiné à la valeur innée du matériel, à la valeur potentielle des renseignements qu il contient et la facilité avec laquelle il est possible d accéder à l information ouvre à l éventualité d une exploitation possible. L exploitation des occasions de comportements et leurs faiblesses Les personnes, les organisations et possiblement certains gouvernements sont ceux qui pourraient exploiter ces occasions. Ils cherchent à avoir accès à de l information ou à la détruire en utilisant des moyens illégaux ou détournés, dans l espoir de réaliser des gains financiers ou politiques. Les auteurs de ces actes peuvent être des fraudeurs locaux qui volent des avoirs pour disposer d un accès physique à 17 Focus group participant 18 "The Numbers Are In: UK Mobile Users Love Phones Yet Few Take Steps to Protect Them the Official Lookout Blog." Web < 19 "The Numbers Are In: UK Mobile Users Love Phones Yet Few Take Steps to Protect Them the Official Lookout Blog." Web < 20 "The Dark Side of BYOD: Privacy, Personal Data Loss and Device Seizure BringYourOwnIT.com." Web < 21 "Mobile Device Security: The Insider s Guide." MobiThinking. Web. <

16 16" Les"appareils"mobiles"face"aux"cybermenaces" des renseignements, ou encore de nature à intercepter les signaux sans fil Bluetooth ou de communication en champ proche ou encore de ceux qui mènent des attaquent par-delà les frontières géographiques en utilisant des logiciels malveillants ou d autres moyens numériques à l aide de la capacité d Internet de par le monde. Il arrive souvent que la façon dont les délits informatiques ont été commis rende la persécution de l auteur du crime difficile... si on parvient à le localiser. Puisque l Internet n a pas de frontières géographiques, il est possible de lancer des attaques à partir d autres pays où les lois et les contrôles ne sont peut-être pas aussi stricts que dans leur propre pays. Ils cherchent habituellement des manières pour avoir un accès à des renseignements qui peuvent être profitables pour eux. La grille d analyse des répercussions centrée sur le consommateur donne un aperçu de la nature des auteurs des crimes par rapport à la nature des menaces. L étendue de notre étude comprend ceux qui obtiennent un accès physique au téléphone intelligent d un consommateur dans l intention de le harceler ou de le surveiller malicieusement, habituellement parce qu il le connaisse. La proportion que prend l occasion et la nature de celle-ci sont mises en évidence de plusieurs manières, jusqu à parfois en transformer un citoyen ordinaire en un auteur de crime. Par exemple, ceux qui trouvent des appareils «perdus» accèdent aux renseignements personnels sans toutefois retourner l appareil à son propriétaire. Lorsque quelqu un perd son téléphone, l information qu il contient risque d être divulguée, même si la personne qui le trouve est une personne respectueuse des lois. Dans le projet Honey Stick 22, plus de 80 téléphones «perdus» ont été utilisés soit pour accéder aux applications personnelles, soit aux applications commerciales et dans 70 % des cas pour avoir accès aux deux. Seulement la moitié de ces téléphones intelligents «perdus» ont retrouvé le chemin de leur propriétaire. 23 Les"acteurs"clés" LES"DÉVELOPPEURS"DE"LOGICIELS"DE"SÉCURITÉ" «À mesure que l ampleur des menaces s accentue et que les techniques se perfectionnent, on ne voit pas une augmentation correspondante dans la mise en place de mécanismes pour atténuer l impact des menaces.» 24 De manière générale, nous retrouvons les mêmes développeurs de logiciels de sécurité pour les appareils mobiles que pour les ordinateurs personnels, auxquels s ajoutent de jeunes entreprises qui développent pour la plateforme Android. Les entreprises de logiciels de sécurité telles Symantec, McAfee et Kaspersky développent des logiciels de protection contre les virus, les logiciels malveillants et les logiciels espions. Il arrive souvent que les plus petites entreprises ne puissent offrir la protection étendue actuellement nécessaire pour protéger les appareils intelligents. 22 The Symantec Smartphone Honey Stick Project. Symantec Corporation, Print. 23 The Symantec Smartphone Honey Stick Project. Symantec Corporation, Print. 24 Technology Advisory Council, Security and Privacy Work Group. Consumer Education Recommendations. Federal Communications Commission, December, Print.

17 Les"appareils"mobiles"face"aux"cybermenaces" 17" Les modèles commerciaux des grandes organisations dépendent principalement des revenus provenant de la vente de logiciels et des programmes d entretien annuel pour rester en affaires. Cependant, leurs modèles d affaires et les organisations qui œuvrent dans le domaine de la vente ne sont pas nécessairement faits pour servir un très large bassin de consommateurs. Peu importe, les développeurs de logiciels de sécurité devraient chercher à trouver des façons de pénétrer le marché avec des offres de produits rentables. Plusieurs recommandations devraient être d intérêt pour un grand nombre de ces entreprises puisqu elles constituent les parties intéressées. «Les mesures de sécurité visant les téléphones intelligents n ont pas progressé au même rythme que celles qui protègent les ordinateurs traditionnels. Les mesures de sécurité techniques comme les pare-feu, les antivirus et les logiciels de chiffrement se font rares sur les téléphones mobiles et les mises à jour pour les systèmes d opération des téléphones mobiles ne sont pas aussi fréquentes que celles pour les ordinateurs personnels.» 25 Même si les logiciels de sécurité pour les téléphones intelligents sont présentés en emballage comme les logiciels pour les ordinateurs personnels, ils exigent tout de même un processus particulier (et possiblement coûteux), car ils sont suffisamment différents d eux. Les services de technologies de l information (TI) des entreprises multiplient leurs efforts pour protéger les téléphones intelligents de leurs employés; ils cherchent davantage à protéger l environnement TI de l entreprise des risques au lieu de protéger les téléphones intelligents. Bref, les entreprises préfèrent dépenser de l argent pour protéger leurs propres environnements de technologie informationnelle que le téléphone intelligent d un employé. En dernier lieu, puisque les consommateurs sous-estiment les risques de contamination de leurs téléphones intelligents par un logiciel malveillant, ils ne sont pas prêts à investir dans des solutions logicielles adéquates. «Il a dit que les mesures de sécurité traditionnelles que nous utilisons sur les ordinateurs ne fonctionnent pas aussi bien que ça. Pire encore, les téléphones ont d autres problèmes comme la durée de vie des piles, qui rendent irréalistes la mise en place de mesures de sécurité traditionnelle qui exigent que le programme fonctionne en continu en arrière-plan.» 26 Ces facteurs expliquent probablement la lenteur du développement des mécanismes de défense pour les téléphones intelligents, comme il est possible de le constater à la lecture des commentaires relatifs aux recommandations du groupe de travail Sécurité et vie privée. 27 LES"DÉVELOPPEURS"D APPLICATIONS" «Dans la course à vouloir développer l application la plus sensationnelle du marché, plusieurs développeurs ne se soucient pas de la sécurité de leurs applications.» 28 Les développeurs d applications comprennent les entreprises, les organisations philanthropiques, les boîtes de production de logiciels, les fournisseurs de plateforme, les entreprises de télécommunication 25 Ruggerio, Paul, and Jon Foote. Cyber Threats to Mobile Phones. United States Computer Emergency Readiness Team, Print. 26 Traynor, Patrick. Emerging Cyber Threats Report Security Summit Georgia Tech Information Security Center, Print. 27 Technology Advisory Council, Security and Privacy Work Group. Consumer Education Recommendations. Federal Communications Commission, December, Print. 28 Mobile (In)Security A Survey of Security Habits on Smartphones and Tablets. Confident Technologies, September, Print.

18 18" Les"appareils"mobiles"face"aux"cybermenaces" sans fil, les groupes de consommateurs et les consommateurs eux-mêmes. Leur tâche est simple : créer des applications pour des appareils mobiles. Puisque plusieurs développeurs sont propriétaires uniques de leur entreprise ou travaillent au sein de très petites entreprises, il est possible que les ressources et les habiletés auxquelles ils ont accès ne leur permettent pas d utiliser des méthodes de développement exemplaires. Les développeurs ont intérêt à protéger les consommateurs des cybermenaces, mais ces développeurs peu expérimentés peuvent créer des applications qui restent ouvertes au risque d exploitation, tout comme peuvent le faire les plus grosses boîtes. Les développeurs d applications légitimes désirent que les utilisateurs puissent se servir de leurs programmes et les comprendre. Ils doivent également se conformer à différentes normes logicielles élaborées par les principales boutiques d applications tel l App Store de Apple ou encore Google Play. Ils veulent s assurer que toute application portant leur nom ne peut être exploitée, comme ce fut le cas pour la version de Angry Bird 2012 pour Android, lorsqu une application factice a été lancée, ternissant du coup la réputation du développeur. 29 Par exemple : «Même les logiciels licites pour les téléphones intelligents peuvent être exploités. Les logiciels pour les appareils mobiles et les services des réseaux sont vulnérables comme le sont ceux pour les ordinateurs personnels. Pendant des années, les pirates informatiques ont exploité les logiciels pour les téléphones mobiles pour faire de l écoute clandestine, faire planter les logiciels de téléphonie mobile ou mener des attaques.» 30 Les développeurs d applications doivent concevoir des outils dans lesquels les consommateurs peuvent avoir confiance en matière de sécurité et de fiabilité. Il arrive souvent que les médias sociaux servent à publiciser une application, dans l espoir qu elle se propage rapidement et à grande échelle, si elle s avère utile. Malheureusement, les développeurs qui travaillent avec des moyens limités se trouvent peut-être plus enclin à créer une application qui les rendra riche rapidement, que de se bâtir une solide réputation sur le marché. La sécurité des applications peut se retrouver plus loin dans leurs priorités. Les répondants clés ont émis plusieurs commentaires quant aux développeurs d application et ce qu ils peuvent faire pour améliorer les conditions des consommateurs. Par exemple : «Les applications sont censées fonctionner dans des bacs à sable, mais plusieurs personnes sortent de ces systèmes. Les développeurs d applications pourraient inclure plus de processus de confirmation instantanée dans leurs applications; l application renverrait à l utilisateur une confirmation lorsqu il s agirait de transactions sensibles. De cette façon, une personne qui recevrait une confirmation pour une transaction qu elle n aurait pas faite ou autorisée pourrait prendre immédiatement des mesures pour résoudre le problème.» 31 LES"ORGANISMES"DE"RÉGLEMENTATION" «Le gouvernement n a pas de rôle plus fondamental que la protection de ses citoyens.» "Android Users Targeted in Angry Birds Malware Scam Technology Guardian.co.uk." Web < 30 Ruggerio, Paul, and Jon Foote. Cyber Threats to Mobile Phones. United States Computer Emergency Readiness Team, Print. 31 Mark Donadio, Director of Information Security, KPMG LLP (US), Key Informant Interview 32 "What We Do." Web <

19 Les"appareils"mobiles"face"aux"cybermenaces" 19" Les autorités de régulation Le gouvernement du Canada prend ce rôle très au sérieux, ayant plusieurs départements et organismes d autorité et d exécution qui se partagent les responsabilités touchant diverses composantes de ce domaine complexe. Les organismes suivants exercent des responsabilités à cet égard. Sécurité publique Canada (SP) est l organisme parapluie du gouvernement du Canada. Il a comme mandat «de travailler à la sécurité du Canada sur tous les plans, allant des catastrophes naturelles aux crimes et au terrorisme». Afin de s acquitter de ses responsabilités à l égard des cybermenaces, il compte sur les organismes fédéraux suivants : Le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) veille à ce que les télécommunications servent le public canadien, en exerçant de la surveillance, en instaurant une réglementation et en veillant à sa mise en force. Le CRTC hébergera bientôt le Centre de notification des pourriels, afin que les entreprises et les particuliers puissent signaler, par l entremise du site Internet fightspam.gc.ca, les messages électroniques non sollicités de nature commerciale. Le Centre antifraude du Canada (CAFC) joue un rôle important quant à l éducation du public concernant des pratiques frauduleuses en télémarketing et la collecte et la dissémination de témoignages de victimes, de statistiques et de documentation, et auxquels ont accès les organismes d application de la loi. Le Centre canadien de réponse aux incidents cybernétiques (CCIRC), Le Centre agit sous l autorité de Sécurité publique Canada. Avec des partenaires au Canada et ailleurs, le Centre cherche à atténuer les cybermenaces à la sécurité des réseaux informatiques essentiels qui se trouvent à l extérieur du gouvernement fédéral. La Gendarmerie royale du Canada (GRC), et plus précisément le Groupe intégré de la criminalité technologique (CICT) qui comprend des «enquêteurs policiers et de membres civils chargés de lutter contre les crimes de nature informatique, autant d envergure nationale qu internationale, et de fournir une assistance technique aux autres services d enquête. Nous [le CICT] nous penchons sur des infractions telles que l accès non autorisé à un ordinateur ou à un réseau, l altération de données informatiques (vol, manipulation, destruction, etc.) et la possession d équipements ou de mots de passe visant et facilitant ces fins.» 33 «Le mandat du GICT comporte quatre volets distincts : les enquêtes, le soutien informatique, les renseignements et la prévention.»34 Le Bureau de la consommation, qui fait partie d Industrie Canada, est responsable des «questions entourant la protection du consommateur qui portent sur la protection des intérêts du consommateur sur le marché, comme la protection de la vie privée et des renseignements personnels contre les pratiques frauduleuses et déloyales.» 35 Le Commissariat à la protection de la vie privée du Canada est responsable d «aider les personnes et les organisations à empêcher que les cybercriminels mettent la main sur les renseignements personnels qui sont en leur possession. La raison pour laquelle le crime cybernétique nous préoccupe est simple; ce 33 "Integrated Technological Crime Unit - Royal Canadian Mounted Police." Web < 34 "Integrated Technological Crime Unit - Royal Canadian Mounted Police." Web < 35 "Consumer Protection - Web <

20 20" Les"appareils"mobiles"face"aux"cybermenaces" type de crime implique le vol et l utilisation malveillante de renseignements personnels, souvent à grande échelle.» 36 L Association canadienne des télécommunications sans fil (ACTS) affirme avoir l autorité à l égard des questions touchant le sans fil, les développements et les tendances au Canada, mais cette autorité ne s étend pas aux cybermenaces. 37 La stratégie «La cybersécurité est une responsabilité partagée, et le gouvernement fédéral, le secteur privé, d autres niveaux du gouvernement et les Canadiens doivent travailler ensemble afin d assurer la sécurité des cybersystèmes essentiels et de pouvoir continuer à se protéger en ligne.» 38 Cet énoncé provient du Plan d action 2010 de la stratégie de cybersécurité du Canada. Cette stratégie repose sur trois piliers : Sécuriser les systèmes du gouvernement; Nouer des partenariats pour protéger les cybersystèmes essentiels à l extérieur du gouvernement fédéral; Aider les Canadiens à se protéger en ligne. Ils ont confié la responsabilité à SPC, à Industrie Canada et à la GRC. En raison de l augmentation du bassin d utilisateurs de téléphones intelligents, de la dépendance des consommateurs à ces appareils et les risques auxquels ils s exposent, les autorités de la réglementation correspondent au seul groupe dont le pouvoir est suffisant pour jouer un rôle de premier rang afin de réunir et coordonner la participation de plusieurs des parties intéressées afin d identifier les questions liées aux téléphones intelligents face aux cybermenaces, de hiérarchiser les priorités et de traiter ces questions. La question de la cyber sécurité entourant les téléphones intelligents demeure fondamentale pour les consommateurs et l ensemble de l économie canadienne. Une saine compétition entre les fournisseurs ne résoudra pas nécessairement les problèmes des menaces grandissantes envers la protection des données à caractère personnel, la sécurité et les risques financiers qui émergent dans ce marché. Les lois qui s appliquent à ce secteur en effervescence deviennent rapidement obsolètes, et il faut soit interpréter les anciennes lois différemment afin de se défendre contre les menaces, soit en créer de nouvelles. Trois des répondants clés, qui s étaient tous appuyés sur l expérience qu ils avaient eue avec le gouvernement américain en matière de sécurité, partageaient ce point de vue Le consortium américain a recommandé un plan de grande portée : «Seulement un effort mené de bout en bout et en collaboration, couvrant l ensemble de l écosystème mobile (appareils et plateformes, applications et services des réseaux), permettra une avancée significative pour remédier à ce problème qui ne cesse de prendre de l ampleur. Il 36 "ARCHIVED - Did You Know? - Issue 1." Web < 37 "CWTA About CWTA." Web < 38 Action Plan for Canada s Cyber Security Strategy. Government of Canada, Print. 39 Martin Hillger, IT Security Consultant, Key Informant Interview 40 Ryan Garvey, Information Security Analyst, US State Department, Key Informant Interview 41 Justin Morehouse, Key Informant Interview