La 7e édition de NorthSec bat son plein, et regroupe non seulement la communauté montréalaise et canadienne de la cybersécurité, mais des experts du milieu provenant d’à travers le globe. L’événement, qui s’étend sur une semaine, regroupe à la fois des séances de formation pointues, des conférences et ateliers, avant de se clôturer avec une compétition CTF (« capture-the-flag ») qui s’amorcera ce soir.
Cette année, en plus des présentations plus techniques ou touchant les questions traditionnellement liées à la cybersécurité, plusieurs présentations visent à rappeler aux membres de l’industrie qu’avec de grands pouvoirs viennent de grands responsabilités. En d’autres mots, que même les connaissances et habiletés techniques ne suffisent pas. Il est important pour les experts de prendre conscience des impacts positifs et négatifs que nos actions sur les utilisateurs et les sociétés qui utilisent ces technologies. Comprendre les utilisateurs et reconnaître la diversité et la légitimité de leur expérience pour apporter des réponses technologiques appropriées. Voici quelques un des enjeux abordés à cet égard.
Dès l’ouverture des conférences, Eva Galperin, Directrice de la cybersécurité de l’Electronic Frontier Foundation présentait le phénomène inquiétant des spouseware et des stalkerware, des logiciels espions notamment utilisé dans des situations d’abus et de violence familiale. Pour protéger de façon effective l’ensemble des utilisateurs, il ne suffit pas de développer les outils de sécurité les plus performants. Comprendre les dynamiques sociales et politiques qui affectent les usagers est aussi important. Par exemple, comme le soulignait la conférencière, les victimes de violence conjugale savent généralement qu’elles ne devraient pas accepter de partager leur appareil et leurs informations d’accès à leur partenaire. Mais elles savent aussi que refuser de le faire pourrait entraîner une recrudescence de violence à leur endroit. Le développement de solutions de sécurité et de conseils pour les utilisateurs doit prendre ces situations en compte.
La conscience des utilisateurs est un sujet qui a aussi été abordé par l’expert.e* en sécurité et réduction des méfaits en matière de vie privée Norman Shamas. Privilégier l’approche de réduction des méfaits, y compris en matière de cybersécurité, permet d’adapter l’élaboration des politiques et des technologies sur les comportements réels des utilisateurs, plutôt que sur les comportements que les experts voudraient que ceux-ci adoptent. Mx Shamas a collaboré à titre d’expert.e avec l’ONG Article 19, dans le cadre d'une initiative qui vise à mettre en place une approche de réduction des méfaits pour protéger les utilisateurs d'applications de datation queer. Ce projet, impliquant des plateformes majeures telles que Grindr, visait à recommander et mettre en œuvre certains changements en matière de sécurité technique et de conception pour mieux protéger les communautés visées. Un des constats de ce projet, qui a surpris l’auditoire, est que dans certaines régions, où les relations entre personnes de même sexe sont stigmatisées ou illégales, la géolocalisation est une fonctionnalité précieuse pour les usagers, qui peuvent privilégier des rencontres dans un environnement connu ou au contraire, éviter que leur profil ne soit visible dans un périmètre de leur milieu. Parfois, des fonctionnalités toutes simples, tel que la possibilité de camoufler ou d’obscurcir l’application aux postes frontière, peuvent constituer une amélioration majeure dans la sécurité des usagers.
Matt Mitchell, directeur de la sécurité numérique et la vie privée de l’OBNL Tactical Technology Collective, a quant à lui rappelé l’importance pour la communauté de se mobiliser et de se solidariser avec une (h)activistes dans différentes régions pour lutter contre les législations qui, sous le couvert de protéger la sécurité, limitent la liberté d’expression mondialement. En utilisant des exemples de situations passées ou en cours au Vietnam, en Inde et au Myanmar, notamment, M. Mitchell rappelle à l’ensemble de la communauté cyber que les préoccupations et les risques en matière de vie privée et de sécurité est globale, et que la solution doit reposer sur des échanges globaux.
Les enjeux juridiques et moraux en matière de cybersécurité ne visent pas que les journalistes et les activistes. Les bug bounters ainsi que les entreprises qui font appel à leur service font parfois face eux-aussi à des défis légaux et éthiques importants. Des initiatives telles que Disclose.io offrent un cadre aux uns et aux autres leur permettant de s’entendre sur un fonctionnement mutuellement bénéfique. Pour Chloé Messdaghi, chercheuse en sécurité et défenderesse des enjeux de cybersécurité, l’un des éléments fondamentaux sous-tendant cette collaboration est une communication claire, transparente et efficace. Qu’on parle de respect des règles implicites et explicites, de temps de réponse initial et de résolution des vulnérabilités, ou de canaux de communications à privilégier, laisser place à l’ambiguïté n’est pas la voie à suivre. Bonne nouvelle si vous nous lisez du Canada, disclose.io devrait dans les prochains mois comprendre une section adaptée aux particularités et législations canadiennes.
Évidemment, toute conférence en sécurité digne de ce nom regroupe plusieurs présentations au contenu plus technique, visant à stimuler le développement des compétences des participants. Pour marquer la première journée complète du CTF, nous reviendrons demain sur cette aspect de NorthSec 2019.
*Norman Shamas est une personne non-binaire
