Les derniers jours ont été pénibles pour tous ceux qui cherchent à rassurer les consommateurs quant à la sécurité de leurs biens et de leur identité dans un contexte de «cyberadministration» et d'interconnexion des réseaux informatiques. Pas facile non plus dans ce contexte de vouloir convaincre les consommateurs d'être vigilants au sujet de la sécurité informatique à la maison, alors que de grands joueurs de l'économie numérique sont victimes de telles attaques.

La semaine dernière, Equifax avouait avoir été victime d'un vol de données qui aurait touché au moins 605 consommateurs, pour la plupart en Colombie-Britannique. Un incident qui s'ajoute au vol de 1400 dossiers de crédit en mars 2004. Vendredi, c'était au tour de MasterCard International de révéler que, à la fin du mois de mai dernier, 40 millions de cartes de crédit et de cartes de débit avaient été la cible d'une opération de vol des données.

L'opération aurait été menée à partir du système informatique de l'entreprise de traitement de paiement électronique CardSystems Solutions en Arizona. Le ou les voleurs auraient eu accès à plus de 20 millions de cartes de crédit Visa, 13,9 millions de cartes de crédit MasterCard et des millions de cartes d'American Express et Discover. Pour réaliser ce coup, on aurait tout simplement introduit un logiciel dans le système de traitement des données de l'entreprise pour en extraire l'information.

Prudence

Mondialisation et interconnexion des réseaux obligent, bien que le problème soit d'abord américain, les compagnies canadiennes de cartes de crédit recommandent fortement aujourd'hui à leurs clients et aux institutions financières d'être très prudents. Car le vol de Tucson pourrait toucher au moins 240 000 détenteurs de cartes de crédit au Canada.

Tous ces vols, n'ont rien pour rassurer les particuliers puisque, dans bon nombre de ces crimes, de plus en plus de malfaiteurs visent à mettre la main sur les dossiers des consommateurs. Un dossier qui contient des informations personnelles comme le nom, l'adresse, les numéros des comptes bancaires, de cartes de crédit et le numéro d'assurance sociale permet d'utiliser les cartes rapidement sur Internet ou par téléphone, d'ouvrir de faux comptes bancaires ou pire encore de carrément voler l'identité de quelqu'un.

Au Québec en 2003, plus de 3711 consommateurs ont été victimes d'un vol d'identité. Des fraudes qui auraient rapporté plus de 4,2 millions de dollars aux auteurs de ses arnaques. Et à la Gendarmerie royale du Canada, on dit que ce type de vol est en forte croissance. Si en 2002, l'organisme avait enregistré déjà plus de 8187 plaintes de consommateurs d'un océan à l'autre, en 2003 on a vu le nombre grimper à plus de 13 359 plaintes. Et cette année-là, les arnaqueurs auraient généré des profits de l'ordre de 21,5 millions de dollars.

Le plus malheureux dans ce type de crime, c'est que le citoyen ne peut pas faire grand-chose. Les vols sont commis directement à partir des réseaux informatiques des entreprises de crédit, celle-là même qui doivent assurer la confidentialité et la sécurité de nos données. Alors, vous aurez beau prendre toutes les précautions pour bien cacher votre NIP de carte de débit la prochaine fois que vous paierez à la pharmacie ou à l'épicerie, ce n'est pas ça qui va empêcher un «techno brigand» de voler une partie de votre vie en violant le système informatique d'Equifax.

Les fraudes que l'on peut éviter

Mais là on l'on peut faire la différence, c'est dans toutes ces tentatives d'arnaques qui arrivent dans nos boîtes de courriers électroniques. Fraude nigérienne ou hameçonnage, l'internaute doit demeurer vigilant devant les invitations plus ou moins louches. Bien que l'arnaque de la fraude nigérienne existe depuis 1985, à l'époque par télécopieur, l'invitation à participer à un transfert de fonds aussi important soit-il demeure toujours une des arnaques qui fonctionnent le mieux sur Internet.

En 2003, lors d'une conférence sur le sujet à New York, on avait évalué à un milliard de dollars américains les pertes des victimes pour une seule année. Mais aujourd'hui, l'arnaque se raffine. Il y a quelques années, on recevait des courriels en anglais nous invitant à communiquer avec le neveu ou le fils d'un ministre qui devait sortir rapidement une fortune de son pays. Aujourd'hui, on reçoit le même type de courriel, mais en provenance d'un correspondant francophone d'Haïti ou d'Afrique francophone. De quoi mieux berner les internautes du Québec.

Et si vous pensez que c'est de l'histoire ancienne, détrompez-vous. Encore en avril dernier, l'escouade du crime organisé de la Sûreté du Québec menait une enquête au sujet d'une nouvelle vague de courriel du genre qui circulait dans la région de Québec et de Charlevoix. À l'époque, la SQ avait parlé de perte de 300 000 $ pour quelques internautes avides de faire un coup d'argent rapide. Au Canada, la plus belle histoire remonte à 2003 alors qu'un Albertain a plaidé coupable après avoir arnaqué plus de vingt investisseurs, recrutés par courriel, pour la somme d'au moins six millions de dollars en utilisant la fraude nigérienne.

À la recherche d'un poisson

Parallèlement à la pratique de la fraude nigérienne, il existe depuis quelques mois l'arnaque de l'hameçonnage ou le phishing comme on dit dans la langue de Shakespeare. Une forme de vol participatif qui nous ramène au vol d'identité. Le principe est simple. La victime reçoit un courriel de son institution financière ou d'un service de paiement Internet qu'elle utilise, un courriel qui explique qu'en raison de problèmes techniques, elle doit se brancher au site de l'entreprise pour y saisir à nouveau ses coordonnées pour réactiver son compte. La victime suit alors un lien pour se rendre à une page Web qui a toutes les apparences du vrai service, elle y remplira un formulaire, y indiquant des renseignements personnels et hop! En un clic, ces données parviendront aux criminels qui ont orchestré l'opération, plutôt qu'à la banque ou au service Internet.

Dans les faits, il faut savoir que ses courriels sont envoyés à des millions d'adresses de façon aléatoire. La probabilité veut ensuite que des clients de la Banque Royale, la Citi Bank ou de Paypal reçoivent par hasard ce courriel. Même si la plupart des destinataires vont jeter un courriel de la sorte, il n'en reste pas moins qu'un récent sondage sur le sujet indiquait que 5 % des répondants étaient déjà tombés dans le panneau de ce type de fausse opération de mise à jour des dossiers.

Selon l'organisme américain Anti-Phishing Working Group, il y aurait eu une augmentation des sites d'hameçonnages de 28 % par mois en moyenne depuis juillet 2004. En avril 2005, toujours selon l'organisme américain, il y avait 2854 sites en ligne qui servaient à des opérations d'hameçonnage.

Le nouvel hameçon à la mode, le réseau Interac

C'est le réseau bancaire Interac qui est la dernière victime d'une vaste opération d'hameçonnage au Canada. Depuis quelques semaines, une confirmation de virement de fonds par courriel du réseau Interac circule sur Internet. Une dénommée Marybeth Hedd cherche à déposer 961 dollars dans le compte bancaire du destinataire. Mais pour parachever l'opération, ce faux courriel de l'entreprise CertaPay (membre du réseau Interac) demande à l'internaute de se rendre à un site Web pour y confirmer des informations bancaires. Et c'est en remplissant ce formulaire que l'information va directement dans les mains des escrocs plutôt que dans les ordinateurs du réseau Interac.

Bye Bye, carte à bande magnétique

Parlant de sécurité informatique, il est surprenant de voir que le consortium canadien Interac a décidé d'implanter l'usage de la carte à puce au pays d'ici à la fin 2006. Certes, cette technologie a eu ses heures de gloire, notamment en Europe, mais aujourd'hui elle est dépassée. Ses ambassadeurs eux-mêmes, les Européens, regardent maintenant ailleurs. Un ailleurs qui tourne autour de la technologie du paiement sans contact par fréquence radio. Exactement sur le même principe que le paiement à la pompe à essence dans les stations d'essence qui vous permettent de payer rapidement sans devoir aller à la caisse.

La technologie du paiement sans contact à l'aide des fréquences radio fait école ici et là. D'ailleurs, chez nos voisins américains, il est de plus en plus question de passer directement à cette technologie, et de ne pas utiliser la technologie de la carte à puce. Et l'accord que viennent de signer les géants du crédit Mastercard et Visa au sujet d'une technologie commune de transmission pour les paiements sans contact par fréquence radio va exactement dans cette direction. Cette technologie du paiement sans contact est déjà testée aux États-Unis, notamment, dans plus de 5000 succursales de la chaîne de restauration rapide McDonald's.