Pratiques exemplaires sur la prévention du vol d'identité en ligne

Note d'information numéro : IN04-002
19 août 2004

Objet

Devant le nombre croissant de vols d'identité perpétrés en ligne, Sécurité publique et Protection civile Canada (SP) diffuse la présente note d'information pour exposer les pratiques exemplaires sur la prévention de ce type d'infraction.

Public

Le présent document est surtout destiné aux propriétaires et aux utilisateurs des infrastructures essentielles canadiennes, qui doivent être au courant de toutes les menaces potentielles contre la sécurité des renseignements essentiels à leur mission.

Contexte

Le 3 avril 2003, AusCERT, l'équipe australienne d'intervention en cas d'urgence informatique, a émis un avis d'alerte concernant les nombreux sites Web conçus pour recueillir des renseignements personnels et financiers sur des clients, à l'insu de ces derniers. L'avis mettait en garde contre des agresseurs qui construisaient des sites miroirs afin d'inciter les clients des services bancaires en ligne et les adeptes d'autres formes de paiements électroniques à utiliser les faux sites plutôt que les originaux. Le but consistait à se procurer frauduleusement, auprès des utilisateurs, des renseignements personnels (âge, sexe, état civil, numéro d'assurance sociale, soi- disant aux fins de documentation générale), financiers (carte de crédit, numéro de compte et numéro d'entrée dans le système bancaire) et confidentiels (mots de passe personnels et d'entreprise). ^[1]

Ces délits sont souvent appelés " spoofing " et " phishing ", mais ne se limitent pas à ces deux catégories. Le spoofing (ou mystification) est une technique employée pour accéder indûment à un ordinateur en envoyant à celui-ci des messages dont l'adresse IP laisse croire que ceux-ci proviennent d'un hôte fiable alors qu'en réalité, on a copié un site Web authentique à des fins frauduleuses. Le phishing (ou usurpation d'interface) consiste à envoyer à des utilisateurs des courriels prétendant faussement émaner d'entreprises fiables, en vue de recueillir des renseignements personnels, financiers et confidentiels. Souvent, le contenu et le message du courriel sont destinés à inquiéter le destinataire et à le pousser à agir. Ce dernier est alors orienté vers un faux site Web.

Au cours de l'année suivant l'alerte déclenchée par AusCERT, plusieurs incidents hautement publicisés se sont produits :

• Le 9 juillet 2003, le site Web de la Massachusetts State Lottery Commission a fait l'objet d'une mystification. Le faux site demandait aux visiteurs de donner leur numéro de carte de crédit et de sécurité sociale, ainsi que d'autres renseignements personnels, et de payer des droits de traitement de 100 $ US.^[2]
• À la mi-juillet 2003, un courriel de masse informait les destinataires qu'une commande passée auprès de www.bestbuy.com utilisait des renseignements tirés de leurs cartes de crédit, et leur demandait de suivre un lien menant à la page Web du service des fraudes de l'entreprise. Or, le lien menait plutôt à un différent site Web maquillé pour ressembler à celui de Best Buy et qui demandait leurs renseignements personnels.^[3]
• À la fin de juillet 2003, un site Web a copié celui de PayPal (un site de paiement en ligne) pour tenter de tromper les clients de cette entreprise en les incitant à divulguer des renseignements confidentiels sur les comptes et la facturation. Un message courriel semblant provenir de PayPal les invitait à se rendre sur le site www.paypal-billingnetwork.net. ^[4]
• En juin 2004, des auteurs de fraude s'en sont pris à RBC Groupe financier. Ils ont donc envoyé aux clients des courriels prétendant faussement émaner de la banque dans lesquels on leur demandait leur nom, leur numéro de compte bancaire et leur nom d'utilisateur afin de vérifier leur situation financière en raison de " l'augmentation des activités frauduleuses ". Si le client clique sur le lien dans le courriel et qu'il a divulgué des renseignements personnels demandés sur le faux site Web, les pirates informatiques pourrait obtenir les renseignements nécessaires pour accéder aux comptes bancaires. ^[5]

En juin 2004, des auteurs de fraude s'en sont pris à RBC Groupe financier. Ils ont donc envoyé aux clients des courriels prétendant faussement émaner de la banque dans lesquels on leur demandait leur nom, leur numéro de compte bancaire et leur nom d'utilisateur afin de vérifier leur situation financière en raison de " l'augmentation des activités frauduleuses ". Si le client clique sur le lien dans le courriel et qu'il a divulgué des renseignements personnels demandés sur le faux site Web, les pirates informatiques pourrait obtenir les renseignements nécessaires pour accéder aux comptes bancaires. ^[6]

Tout récemment, le 6 juillet 2004, SP a émis un Avis de sécurité concernant un cheval de Troie dissimulé dans des publicités instantanées apparaissant à l'écran sans avertissement. En cliquant sur le bouton de fermeture (" close ") pour se débarrasser de la publicité, on invitait le virus à tenter de s'installer secrètement dans l'ordinateur. Il était programmé pour attendre que l'utilisateur accède à son compte bancaire par Internet, et tentait alors de voler des détails personnels comme des mots de passe, avant que l'information n'atteigne la banque. Ce cheval de Troie visait les clients de près de 50 banques du monde entier.

Pratiques exemplaires

Étant donné que les auteurs de ces méfaits déploient de grands efforts pour falsifier l'apparence des sites Web ou rédiger des messages courriels véhiculant l'image des entreprises visées, ils réussissent souvent à extraire des renseignements personnels et financiers de consommateurs sans méfiance, aux fins de vol d'identité, puis de fraude financière. Tous les éléments des profils d'entreprises authentiques sont copiés dans les courriels et dans les sites miroirs, y compris les pages d'entrée en communication, les logos d'entreprise, les bannières de site et les renseignements d'achat.

SP suggère plusieurs pratiques exemplaires, pouvant aider les entreprises et consommateurs à se protéger contre le vol d'identité pendant qu'ils se servent d'Internet.

Entreprises
En plaçant une partie de leurs services en ligne, des entreprises s'exposent à des attaques associées à ce nouveau moyen de communication. Des détaillants responsables en ligne ont réagi en fournissant des programmes concertés afin de renseigner les clients sur les activités frauduleuses menées sur Internet. Dans cette optique, chaque entreprise doit absolument :

• faire connaître aux clients exactement quelle information elle demandera ou non, sur un site Web ou par courriel (S'il faut échanger des renseignements personnels, financiers ou confidentiels, indiquer clairement dans quelles circonstances. Par exemple, un détaillant ne demandera un numéro de carte de crédit qu'au moment de conclure une vente sur son site dûment sécurisé, et ne le fera jamais par courriel. SP recommande aux entreprises de faire connaître aux clients, plusieurs fois par année, leurs pratiques commerciales concernant l'échange de renseignements potentiellement confidentiels.);
• faire savoir aux clients comment ceux-ci pourront se renseigner sur les courriels ou sites Web suspects ou révéler l'existence de ceux-ci;
• veiller à bien s'enregistrer comme responsable de son site Web, plutôt que le concepteur du site;
• indiquer clairement l'adresse de son site Web sur toute sa papeterie, ses en-têtes de lettre et ses documents publicitaires, afin que les consommateurs connaissent le bon localisateur de ressources universel (URL);
• protéger la sécurité des clients en enregistrant des variantes de son URL de domaine; par exemple, www.googel.com mène les utilisateurs à la bonne adresse Web, www.google.com.

Consommateurs
SP recommande aux utilisateurs d'Internet de faire preuve de vigilance au cours de leurs activités en ligne et de manifester une diligence raisonnable à l'égard de tous les participants à des transactions en ligne. Pour leur part, les consommateurs doivent :

• installer et mettre souvent à jour un logiciel antivirus éprouvé;
• tenir à jour les fureteurs et systèmes d'exploitation (c.-à-d., MS Windows) et appliquer les corrections de sécurité aux programmes;
• se méfier de tous les courriels demandant des renseignements personnels, financiers ou confidentiels, car des sites Web réputés ne formulent normalement pas de telles demandes par courriel;
• s'abstenir de remplir des formulaires qui, par courriel, demandent des renseignements personnels, financiers ou confidentiels;
• se méfier des liens fournis dans les courriels (ne pas cliquer sur ces liens si l'on soupçonne que le message n'est pas authentique, c.-à-d. si l'on ne reconnaît pas l'expéditeur ou l'on ne comprend pas le sujet ou le message);
• toujours s'assurer qu'ils ont la bonne adresse URL dans le cas d'un site Web demandant aux utilisateurs de s'identifier, par exemple au moyen d'un mot de passe; changer régulièrement de mot de passe, employer des mots de passe difficiles à deviner (p. ex., une combinaison de lettres, de chiffres, de majuscules et de minuscules) et ne jamais révéler leur mot de passe à qui que ce soit;
• se montrer prudents en cherchant un site grâce à un moteur de recherche d'Internet, car il n'est pas toujours possible de distinguer entre une imitation et un site légitime (Envisager de créer un signet ou une entrée favorite pour les sites Web importants, afin d'arriver chaque fois sur le bon site Web. En outre, chercher la politique de l'entreprise sur les renseignements personnels ou un lien vers celle-ci, en visitant le site Web. Faire attention à l'information recueillie par l'entreprise, à la façon dont elle est employée et à qui elle est communiquée.);
• toujours veiller à utiliser un site Web sécurisé en présentant un numéro de carte de crédit ou d'autres renseignements confidentiels au moyen du fureteur (il est généralement affiché dans la barre d'état);
• communiquer avec l'organisation par téléphone s'ils doutent de l'authenticité d'un message courriel ou d'un site Web; ne pas employer le numéro de téléphone fourni dans le document suspect;
• toujours signaler les courriels de phishing d'abord à l'organisation, puis aux services locaux d'application de la loi afin qu'une enquête officielle soit ouverte.

Conclusion

Même si le vol d'identité n'est pas une nouveauté, Internet fournit aux escrocs un moyen efficace de se procurer, auprès de sources privées, des renseignements personnels, financiers et confidentiels. Il est important que les entreprises et utilisateurs adoptent une attitude responsable en utilisant Internet. Selon la Federal Trade Commission (FTC) des États-Unis, le vol d'identité constituait la plainte pour fraude la plus souvent signalée par les consommateurs l'an dernier, et représentait 42 % de plus de 200 000 plaintes pour fraude reçues par la FTC. De plus, deux grands bureaux de crédit canadiens déclarent recevoir chaque mois de 1 400 à 1 800 plaintes pour vol d'identité, la plupart provenant de l'Ontario.^[7]. Un représentant de l'Identity Theft Resource Center (un organisme américain sans but lucratif) aurait récemment déclaré qu'un retour de 0,5 % sur 100 000 messages courriels constitue déjà une infraction majeure aux règles sur l'identité^[8]

Resources

• On peut accéder à la page Web du portail de la Sécurité publique du gouvernement du Canada (Vol d'identité) à l'adresse suivante : Securitecanada.ca.
• L'ancien ministère du Solliciteur général du Canada (devenu Sécurité publique et Protection civile Canada) et le département américain de la Justice ont rédigé conjointement un rapport spécial sur le vol d'identité, qui est disponible en ligne.
• Les pratiques exemplaires de l'Association des banquiers canadiens (ABC) sur l'usage de ressources en ligne, applicables aux transactions financières personnelles, se trouvent à l'adresse suivante : www.cba.ca.
• Une enquête américaine sur le crime et la sécurité informatique (PDF 2.2Mo) (FBI/GSA/CIO 2003 Computer Crime and Security Survey) est présentée en ligne.
• En mai 2004, deux organismes américains, le Financial and Banking Information Infrastructure Committee et le Financial Services Sector Coordinating Council, ont publié Lessons Learned by Consumers, Financial Sector Firms, and Government Agencies during the Recent Rise of Phishing Attacks. Ce document est disponible sur le site Web du département américain du Trésor  (PDF 1.1Mo).

---

• ^[1]AusCERT Alert AL-2003.04: « Increase in fraudulent activity targeting users of online banking and electronic payment sites.» 21 août 2003
• ^[2]McCarthy, Brendan. « Fake lottery site cons players.» The Boston Globe, 9 juillet 2003.
• ^[3]Lemos, Robert. «E-mail scam makes Best Buy scramble.» CNET News.com, 19 juin 2003.
• ^[4]Roberts, Paul. «New site spoofs PayPal to get billing information.» Macworld,9 juillet 2003.
• ^[5]Roma Luciw, « RBC on 'phishing' hook. » GLOBEANDMAIL.COM, 9 juin 2004
• ^[6]Richardson, Robert. «2003 CSI/FBI Computer Crime and Security Survey.» Computer Security Institute (PDF 2.2Mo)
• ^[7]»Le ministère du Solliciteur général du Canada et le département de la Justice des États-Unis Avis public aux consommateurs : Rapport spécial sur le VOL D'IDENTITÉ »21 mai 2003
• ^[8]Swartz, Jon. «Spammers' fake sites dupe consumers.» USA TODAY, 6 juillet 2003.

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca