« La plupart des gens oublient toutes les bonnes pratiques dans le numérique », déplorait en ouverture de conférence Franck Desert, analyste senior en renseignement sur les menaces et sécurité du Cloud, CGI, lors de la Semaine numériQC.
Alors qu’oublier de fermer la porte à clé en partant semble inconcevable pour la plupart des gens, la sécurité reste secondaire pour ces mêmes personnes une fois sur Internet. Pourtant, sur le numérique, une usurpation d’identité est souvent bien plus dommageable.
Quelques notions à éclaircir
Franck Desert a commencé par rappeler certaines notions souvent mélangées. Il est important en premier lieu de différencier usurpation et vol d’identité. Contrairement à ce que l’on pourrait penser, ces deux termes ne sont pas synonymes.
On parle d’usurpation d’identité lorsqu’une personne s’empare de l’identité de quelqu’un d’autre dans un but frauduleux. Ça commence toujours par une collecte de renseignements. Mais dans ce cas, la victime de l’usurpation d’identité reste vivante et possède donc la faculté de défendre ses droits.
Dans le cas d’un vol d’identité, la victime est décédée est n’est donc plus en mesure de recouvrer ses droits.
De même, les gens confondent souvent sécurité, confidentialité et anonymat. La sécurité est ce qui est mis en place pour protéger le système, alors que la confidentialité est ce que j’accepte de donner comme renseignement dans une entente ou un contrat. Le confidentiel requiert un contrat ou au moins une entente qui contient une notion d’autorisation.
L’anonymat, c’est tout l’inverse. Lorsqu’on est anonyme c’est que l’on ne veut pas être retrouvé.
Qu’est-ce qu’est l’identité numérique
L’identité numérique (IDN), c’est l’ensemble des infos que l’on peut trouver sur une personne sur Internet. Elle se compose de traces volontaires et involontaires que nous laissons sur Internet après chaque connexion.
Ainsi, vos expressions, vos avis, votre profession, vos réseaux sociaux, vos connaissances, vos audiences, vos certificats, les blogues et gens avec qui vous intervenez, votre consommation, vos passe-temps, et l’entreprise pour laquelle vous travaillez, constituent l’ADN de votre identité numérique.
Il existe trois catégories d’IDN :
- L’identité déclarative : lorsque l’on ouvre un formulaire et que l’on y note toutes ses informations.
- L’identité agissante : ce que vous faites quand vous allez sur Internet. Cette dernière est souvent involontaire.
- L’identité calculée, qui est essentiellement tributaire de votre PC : son système d’exploitation, son navigateur, la taille des fenêtres, etc.
Tout cela génère une e-réputation, soit l’image que renvoie Internet d’une personne physique ou morale, ou d’une marque. Cette dernière peut être rapidement faite ou défaite. On peut ainsi penser aux sociétés qui ont mis du temps à se retirer de la Russie et qui ont été critiquées âprement sur Internet, comme Nestlé. Un influenceur peut à lui seul monter ou démonter une marque, on peut penser à Elon Musk avec Dogecoin par exemple.
Dans un monde hyperconnecté, l’e-réputation est en quelque sorte un « bouche-à-oreille » à mille voix.
L’usurpation d’identité, un gros problème
Au 21e siècle, l’usurpation d’identité est devenue un problème majeur. La Federal Trade Commission dit que c’est la plus grande part des fraudes en 2020. Cela représente 29,39 % de toutes les escroqueries signalées.
« Plus les données sont numérisées et transférées sur les serveurs connectés, plus les risques que ces données soient perdues ou volées augmentent », prévient Franck Desert.
L’usurpation d’identité commence donc par une collecte d’informations. Les informations les plus utiles sont ainsi : le nom complet, la date de naissance, l’adresse résidentielle et électronique, le numéro de téléphone, le numéro d’assurance-maladie et d’assurance sociale, le numéro de passeport et de permis de conduire, les données de cartes de paiement, la signature (manuscrite ou numérique) et les mots de passe.
Nombre d’entre elles sont accessibles :
- en volant votre portefeuille, sac à main ou le courrier résidentiel;
- en fouillant vos poubelles;
- en remplissant un formulaire de changement d’adresse pour rediriger le courrier;
- en se faisant passer pour votre créancier, propriétaire, employeur, etc.;
- en envoyant des courriels ou textos non sollicités;
- ou encore, en vous incitant à donner vos accès à vos appareils électroniques.
Le nom complet est facile à avoir tout comme l’adresse électronique. Pour l’adresse résidentielle, il suffit de suivre sa victime. Quant au numéro de RAMQ, cela se calcule si l’on connaît la date de naissance de sa victime.
Une nouvelle fraude à la mode est l’échange de carte SIM. On déplore 650 000 cas du genre le mois dernier au Canada, selon Franck Desert.
Ici, avec les informations personnelles de sa victime, le fraudeur va voir la compagnie de téléphone et prétend avoir perdu sa carte SIM. Le fraudeur fait ensuite transférer le numéro de téléphone de sa victime sur un autre appareil muni de la nouvelle carte SIM sous son contrôle. Il a ainsi accès à son Gmail ou Hotmail, ses autres comptes ou applications détenus et à sa liste de contacts personnels.
Comment se protéger?
Quelques gestes permettent d’assurer une sécurité minimale :
- La première chose est d’être vigilant et ne pas communiquer ses renseignements personnels à n’importe qui.
- Avant de télécharger une application, il est bon de vérifier les paramètres de confidentialité et d’opter pour l’authentification à deux facteurs.
- Il est aussi avisé de désactiver la fonction de géolocalisation automatique du téléphone, de protéger ses données en verrouillant l’ordinateur ou les appareils mobiles lorsqu’on ne les utilise pas, et de ne pas faire de transactions financières ou des achats à partir de réseaux sans fil publics.
- Il est important de mémoriser ses NIP et de s’assurer que personne ne regarde quand on les utilise. Il est essentiel également de protéger son numéro d’assurance sociale et de s’assurer que les organismes qui le demandent ont effectivement le droit de le faire.
- Pour s’assurer qu’il n’y a pas eu d’usurpation d’identité, il est nécessaire de vérifier ses relevés de comptes bancaires et de cartes de crédit régulièrement, et de contester tout achat inconnu et de déchiqueter les documents contenant des renseignements personnels avant de les jeter.
- Avant d’ouvrir un lien envoyé par courriel ou texto, il est toujours important de s’assurer de connaître l’expéditeur.
- Certains logiciels gratuits peuvent être installés afin d’éviter de donner un accès pratiquement illimité à ses informations personnelles.
- Ne publiez aucune information personnelle sur un site ou sur les médias sociaux est également une bonne pratique.
- Évidemment, il est toujours bon de ne jamais utiliser le même mot de passe ou nom d’utilisateur pour plusieurs comptes. Les mots de passe devraient toujours comporter des chiffres, des majuscules et des minuscules ainsi que des caractères spéciaux.
En cas de fraude, il faut agir rapidement. Contactez en premier votre institution financière, puis signalez l’incident auprès du service de police local. Ensuite, signalez l’incident au Centre antifraude du Canada et communiquez avec les deux agences nationales d’évaluation du crédit (Equifax et TransUnion). Demandez-leur qu’un avis de fraude soit inscrit au dossier de crédit.
Malheureusement, tous ces gestes ne vous garantissent pas que vous ne serez pas la victime d’une fraude, mais vous serez assurément bien moins appétissant pour les cyberfraudeurs.