Pourquoi vous ne devriez jamais envoyer de photos de votre pièce d'identité : l'alternative la plus sûre
En Argentine, de nombreuses procédures et livraisons de produits nécessitent une photo de la pièce d'identité du titulaire . Cependant, comme le soulignent les spécialistes de la protection de la vie privée et des données personnelles, il s'agit d'une pratique néfaste : ces données peuvent être exploitées pour divers types de cybercriminalité , allant de l'usurpation d'identité pour obtenir un prêt personnel à l'usurpation d'identité pour tromper nos contacts WhatsApp , ce que l'on appelle l'ingénierie sociale .
Même si pour beaucoup cela peut sembler être quelque chose de peu d'importance, il est important de se rappeler que le DNI ne prouve pas seulement une identité, mais contient également des données personnelles clés telles que le nom complet, le numéro de document, la date de naissance et l'adresse .
Dans le secteur de l'achat et de la vente de données personnelles, recherchées par les attaquants pour de multiples raisons ( voir ), les photos de documents sont précieuses car elles permettent de construire des profils complets pour des fraudes ou des « escroqueries guidées », où la victime est incitée à effectuer des virements à des escrocs ou à transmettre des données personnelles. L'année dernière, un attaquant a dérobé 6 millions d'images de permis de conduire .
À cela s'ajoute un deuxième problème, non moins important : de nombreuses entreprises ne disposent pas de mesures de sécurité adéquates , ou même si elles en disposent, elles s'exposent au vol d'informations et à d'éventuelles violations de données, qui peuvent affecter les utilisateurs. De plus, contrairement aux mots de passe, les violations de données de ce type sont plus difficiles à annuler : un mot de passe peut être modifié ; l'adresse est beaucoup plus complexe.
C'est pourquoi « Datos argentinos » est un site qui, grâce à un outil appelé Safe ID, permet de masquer les données d'une carte d'identité avant de partager l'image demandée par une entreprise ou une entité. Ce site a été créé par Martín Aberastegue, programmeur et spécialiste marketing argentin, qui explique pourquoi il est judicieux de masquer les données sensibles avant de partager des documents, ainsi que la procédure à suivre.
Fuites de données. Photo : Ministère des Transports / Shutterstock / Renaper
« L'obscurcissement est essentiel car le DNI argentin contient des informations extrêmement sensibles pouvant être utilisées pour l'usurpation d'identité, la fraude financière et l'accès non autorisé à des services. Le document comprend des données critiques telles que le numéro de transaction, le code PDF417 contenant toutes les informations personnelles au format numérique, ainsi que des données biométriques . Entre de mauvaises mains, ces informations permettent des transactions frauduleuses et l'usurpation complète de l'identité de la victime », a expliqué le spécialiste à Clarín . Il a signalé des vulnérabilités à des entités telles que l'AFIP (ARCA), des compagnies de téléphone et des compagnies d'assurance.
C'est pour cette raison qu'Aberastegue a créé une application open source qui permet d'obscurcir les données avant de les envoyer.
« Datos Argentinos est une plateforme entièrement à but non lucratif , axée sur la protection des données personnelles d'identité », explique-t-il. « Son outil principal, Safe ID , vous permet de partager votre pièce d'identité en toute sécurité en traitant toutes les informations localement dans le navigateur de l'utilisateur, sans envoyer de données à des serveurs externes. Elle fonctionne entièrement hors ligne et peut même être installée comme application sur votre téléphone. La plateforme offre des fonctionnalités telles que les filigranes personnalisés et l'obscurcissement des données sensibles, entièrement gratuites », ajoute-t-il.
Ce système présente quelques problèmes du côté des entreprises : beaucoup se plaignent lorsque les données sont obscurcies.
« Certaines entreprises rejettent catégoriquement les documents contenant des données censurées , même si elles ne sont pas légalement autorisées à exiger le document complet, ce qui finit par compliquer la vie de l'utilisateur. Par exemple, certains opérateurs de téléphonie mobile acceptaient sans problème les cartes d'identité avec un filigrane et des données obscurcies, tandis que d'autres les rejetaient, prétextant que le filigrane était trop fort. J'ai ajusté l'intensité, et ils ont commencé à les accepter, mais en réalité, cela dépend beaucoup de l'opérateur et de la personne qui vous sert », explique-t-il.
Il s’agit, après tout, d’une culture qui doit commencer à changer.
Renaper a subi des fuites de données ces dernières années. Photo Renaper
En plus de l'adresse et du nom complet, une information importante sur le DNI est le « numéro de procédure ».
« Le numéro de transaction est un élément clé des procédures en ligne et de la validation d'identité. Grâce à cette information, les criminels peuvent effectuer des démarches administratives en ligne en se faisant passer pour quelqu'un d'autre, valider leur identité sur des plateformes numériques, accéder à des services bancaires de base et confirmer des données personnelles dans des systèmes qui ne requièrent qu'une pièce d'identité et un numéro de transaction. Ce numéro est particulièrement dangereux car il fonctionne comme un identifiant unique complémentaire à la pièce d'identité, et de nombreux systèmes en ligne l'utilisent comme facteur d'authentification, tandis que le grand public ignore sa sensibilité et ne le protège pas correctement », explique le spécialiste.
Lorsque des fuites de données se produisent, le citoyen moyen a tendance à ne pas demander une nouvelle carte d'identité, en partie parce que c'est un processus fastidieux et parce qu'il n'est pas conscient de l'ampleur du problème.
« En cas de violation de données, très peu de personnes renouvellent leur pièce d'identité pour invalider le numéro de transaction exposé ; le risque persiste donc dans le temps. Safe ID permet de minimiser ce risque en protégeant les données lorsqu'il n'est pas vraiment nécessaire de les partager », explique Aberastegue.
Enfin, il est important de savoir si, lors du téléchargement de la pièce d'identité, l'image est enregistrée sur un serveur tiers (ce qui pourrait être potentiellement dangereux). Comment le système traite-t-il les données ?
Ceci est expliqué sur le site : « Safe ID utilise une architecture entièrement côté client, ce qui rend techniquement impossible le stockage de vos données. Bien que l'application web soit téléchargée depuis notre serveur, le traitement de vos images s'effectue directement dans votre navigateur grâce aux API natives FileReader et Canvas , sans jamais envoyer vos documents à des serveurs externes. » Les API sont des fonctions déjà intégrées au navigateur qui vous permettent de gérer vos fichiers et images sans recourir à des programmes externes ni à l'envoi de données sur Internet.
« Lorsque vous chargez une image, le navigateur la lit directement depuis votre appareil et la convertit en une représentation numérique résidant exclusivement dans la mémoire RAM. Les transformations telles que le recadrage, l'obscurcissement et le tatouage numérique sont effectuées à l'aide d'opérations mathématiques locales sur un élément HTML5 Canvas. Le résultat final est généré directement sur votre appareil, sans aucune donnée », ajoutent-ils. Les spécialistes peuvent consulter le code source de Safe ID sur GitHub .
« De plus, le projet vise à sensibiliser et à éduquer à l'importance de la protection des données personnelles. Il comprend des sections consacrées aux questions fréquemment posées, un guide de protection du document national d'identité argentin (DNI) et une section présentant un historique des violations de données compilé par Marcela Pallero », ajoute-t-elle, en référence à la spécialiste de la protection des données personnelles qui consigne la chronologie des incidents subis par les entités publiques et privées argentines ( voir ).
Pour l'utiliser, cliquez sur ce lien . Plus les utilisateurs masquent leurs données, plus les entreprises et organisations seront contraintes d'accepter ce type de pratique, qui, en fin de compte, protège non seulement la vie privée des citoyens, mais évite également à l'organisation de se retrouver en difficulté en cas de violation de données.
Clarin
