Notre façon de protéger vos renseignements

La protection de vos données est une responsabilité que nous prenons très au sérieux. À cet égard, l’article qui suit se penche sur notre façon de garder vos renseignements personnels et fiscaux à l’abri des regards indiscrets. Mon objectif n’est pas d’écrire un document théorique, mais bien de vous donner un aperçu des mesures de sécurité que nous utilisons. Dans cet ordre d’idées, j’ai décidé d’écrire quelque chose de digeste, sans tomber dans le savant ou le prétentieux.

Nous sommes conscients que vous nous confiez deux choses qui doivent demeurer secrètes : votre mot de passe et vos renseignements personnels et fiscaux. Premièrement, penchons-nous sur le traitement de votre mot de passe, puisque vos renseignements sont chiffrés à l’aide de ce dernier.

Lorsque vous utilisez ImpôtSimple, toutes les communications entre notre serveur et votre navigateur sont chiffrées par Secured Socket Layer (SSL). C’est ce qu’indiquent le cadenas ou la barre verte affichés dans la barre d’adresse. Ainsi, si quelqu’un trouvait un moyen d’intercepter notre communication, il ne pourrait pas comprendre ce que nous échangeons.

Cela étant dit, même si cette personne pouvait déchiffrer et écouter notre conversation, nous voulons que votre mot de passe reste secret. Donc au lieu de nous échanger votre mot de passe, c’est son empreinte qui est transmise. Cette empreinte ressemble à une empreinte digitale, en ce sens qu’elle sert à identifier une personne, mais qu’elle ne dit pas grand-chose à son sujet. Elle nous permet de vérifier que le mot de passe que vous avez entré est correct, sans le transmettre.

Cette empreinte est générée par hachage à l’aide d’une fonction de hachage connue sous le nom de MD5. En termes profanes, une fonction de hachage transforme un ensemble de données en suite de numéros; de cette façon, il est difficile de deviner à quoi correspond le résultat du hachage si on ne connaît pas les données de départ. À titre d’exemple, essayez de deviner le mot de passe qui se cache derrière chacun des hachages MD5 suivants :

9c25977ed522a06e9696a07e212ad7f3
b76e4aacc5217c25e87b98dfca2627fa

C’était respectivement “simpletax” et “$impletax”, notre nom en anglais. Cela dit, un assaillant rusé pourrait faire appel à une liste de mots de passe courants et leur hachage MD5. De telles listes existent : ce sont des tables arc-en-ciel. Il ne faut que quelques minutes à un ordinateur avancé pour générer une table arc-en-ciel de chaque mot de passe de 5 caractères. À mesure que le nombre de caractères d’un mot de passe monte, le temps qu’il faut pour créer une table arc-en-ciel augmente de façon exponentielle. Donc, s’il faut 10 minutes pour générer une table arc-en-ciel pour chaque mot de passe de 5 caractères, il faudra peut-être 10 heures pour créer un table des mots de passe de 6 caractères.1

Puisque ces tables existent, votre mot de passe reçoit un salage avant d’être haché. Saler votre mot de passe signifie qu’il est traité pour neutraliser les tables arc-en-ciel existantes : pour craquer votre mot de passe, l’assaillant devrait créer une nouvelle table arc-en-ciel qui tiendrait compte de notre méthode de salage. C’est quelque chose qui lui prendrait beaucoup de temps.

Deuxièmement, vos renseignements fiscaux doivent être enregistrés en toute sécurité dans notre base de données. La partie matérielle de cette base de données se trouve dans un endroit sûr et fermé. Malgré tout, nous devons nous préparer aux pires scénarios : quelqu’un s’empare physiquement du serveur, ou quelqu’un s’y introduit en piratant l’un de nos comptes. Ce sont deux choses extrêmement difficiles à faire, mais pas impossibles.

Compte tenu de ce qui précède, vos renseignements sont chiffrés à l’aide de plusieurs algorithmes de hachage et de salage différents en utilisant votre mot de passe comme clé.2 Lorsque c’est fait, le chiffrement empêche qui que ce soit de consulter vos renseignements, même nous. C’est aussi la raison pour laquelle nous ne pouvons pas réinitialiser votre mot de passe. Si vous perdez votre mot de passe, il est perdu pour de bon, et la clé qui sert à déchiffrer vos données aussi. Vous pouvez changer de mot de passe, mais vous devez connaître l’ancien pour que vos données puissent être déchiffrées et rechiffrées.

C’est ainsi que nous protégeons vos renseignements. Votre mot de passe n’est jamais transmis, seulement son empreinte. Lorsque cette empreinte ou vos renseignements personnels et fiscaux sont transmis, nous utilisons une connexion SSL, et lorsque vos renseignements sont stockés, ils sont chiffrés pour que la seule personne qui puisse les voir soit le détenteur du mot de passe.

1 En plus du chiffrement SSL, le hachage de votre mot de passe est effectué du côté client pour qu’il ne soit pas lisible en transmission. Nous aurions aussi pu employer ROT13 ou ajouter 100 à la valeur d’octet de chaque caractère, sauf que la création d’une table arc-en-ciel en tenant compte du salage effectué du côté client demande beaucoup plus de temps à un assaillant. C’est principalement pour déjouer l’écoute clandestine.

2 Nous ne nous servons pas de MD5 pour protéger votre mot de passe ou vos renseignements sur notre serveur. Votre mot de passe (qui a déjà reçu un hachage MD5) reçoit un autre salage individuel généré par une fonction de dérivation de clés populaire, puis un autre hachage à l’aide d’un algorithme différent.

Changé le 1er avril 2013 pour préciser que MD5 n’est pas utilisé pour protéger votre mot de passe ou vos renseignements sur notre serveur.

Il n'est pas trop tard pour débuter votre déclaration de 2018

Obtenez votre remboursement. Produisez votre déclaration dès aujourd'hui.