 |
HEURE DE DIFFUSION
Mardi 19 h 30
REDIFFUSION SUR RDI
Samedi 17 h 30
Dimanche 2 h 30 |
|
|
|
|
|
| - L'hameçonnage - |
|
Savez-vous combien de Canadiens utilisent Internet pour faire leurs transactions bancaires? Près du quart, plus exactement 23 % d'entre eux, ce qui est trois fois plus qu'en 2000. Internet représente sans aucun doute un immense enjeu économique pour les institutions financières. Plus nous sommes nombreux à l'utiliser, moins elles ont besoin de succursales, et donc de personnel. On peut présumer que ça représente des dizaines et des dizaines de millions de dollars d'économies pour elles. Avec les transactions en ligne, la confiance du public est toutefois fondamentale. Le problème, c'est qu'un nouveau type de fraude est apparu récemment: l'hameçonnage (phishing).
Journaliste: Pierre Craig
Réalisateur: André Gariépy
Recherchiste: Sophie Beaudoin
__________
« Internet, c'est comme une jungle, alors il faut faire très, très attention, surtout lorsqu'on pense aux transactions en ligne. »
- Alain Mercier, Centre de recherche informatique de Montréal
« Ça prendrait des milliers de personnes pour surveiller tous les sites, 24 heures sur 24. C'est mission impossible. »
- Jacques Hébert, Association des banquiers canadiens
« On donne tout simplement la clé de notre maison à un fraudeur, à un voleur. On lui dit: ''Tenez, je vous donne la clé, servez-vous. Je pars pour le week-end, prenez ce tout ce que vous voulez''. »
- Nathalie Genest, Mouvement des caisses Desjardins
L'hameçonnage est littéralement une partie de pêche. Les fraudeurs de l'ère informatique tendent des centaines de milliers d'hameçons dans la mer du web, et nous sommes le poisson qu'ils veulent attraper. Leurs hameçons sont des courriels soi-disant envoyés par nos institutions financières.
« L'objet du message est: ''Urgent, urgent, votre compte AccèsD'', explique Nathalie Genest, conseillère à la Direction information et relations de presse du Mouvement des caisses Desjardins. Alors, vous cliquez pour ouvrir le message, vous ouvrez l'enveloppe, et à l'intérieur, vous voyez un message identifié aux couleurs de Desjardins, d'AccèsD. »
Les courriels dont elle parle sont remplis de fautes d'orthographe. Jamais Desjardins n'enverrait un tel message. Autre point important, le texte a un caractère pressant: « Vous devez vous identifier (.) sinon nous serons dans l'obligation de fermer votre compte. »
Fausses pages
« Vous devez confirmer vos données personnelles de nouveau. On vous indique un hyperlien, poursuit Nathalie Genest. À ce moment-là, le membre clique sur cet hyperlien et il arrive sur une fausse page d'AccèsD. »
Il est très difficile de distinguer la vraie page d'AccèsD, le système de transactions en ligne de Desjardins, d'une fausse. La différence entre les deux est que toutes les informations que vous inscrivez sur la fausse page se rendent directement aux fraudeurs. Si vous inscrivez votre numéro de carte et votre mot de passe, vous venez de mordre à l'hameçon.
« Avec ça, le fraudeur peut accéder à votre compte, ajoute Nathalie Genest. Il peut tout simplement prendre l'argent de votre compte et le transférer dans son compte à lui ou dans le compte d'une personne avec qui il serait de connivence pour commettre son méfait. »
Les fraudeurs ne manquent pas d'audace. Sur un faux site, ils ont même reproduit l'avertissement de Desjardins contre le vol d'identité et la fraude électronique. De plus, certains fraudeurs ne se contentent pas de vos numéros de carte et de votre mot de passe. Ils vont parfois même jusqu'à vous demander votre numéro d'assurance sociale et votre date de naissance.
« Avec ça, c'est carrément du vol d'identité qui peut survenir. On peut faire des demandes de cartes de crédit en votre nom, des réservations à gauche et à droite, des achats de toutes sortes, indique Nathalie Genest. On vole carrément l'identité de la personne et ça, malheureusement, on ne peut pas arrêter ça. »
Chez Desjardins, ces attaques massives d'hameçonnage datent de septembre dernier. Le fait nouveau, c'est qu'elles visent un marché local et francophone de surcroît.
Des ordinateurs piratés aux quatre coins du monde
La plupart, sinon toutes les institutions financières et entreprises de commerce électronique d'Amérique du Nord sont victimes de ces attaques depuis deux ou trois ans: RBC Banque Royale, Banque Nationale du Canada, Citibank, eBay. Seul le Mouvement des caisses Desjardins a accepté d'en parler à La facture. Les banques l'ont plutôt renvoyée à l'Association des banquiers canadiens, dont les membres sont également préoccupés par l'hameçonnage.
« C'est sûr que c'est inquiétant, , affirme le directeur de l'Association des banquiers canadiens pour le QuébecJacques Hébert. Parce que ça s'attaque à votre clientèle et que si, demain matin, on n'a plus de clients, on ferme nos portes. Alors, on y porte une attention très spéciale, très pointue, et bien sûr à la mesure de nos capacités à contrer ce crime très sophistiqué. »
 | Jacques Hébert
|
Ce crime est non seulement sophistiqué, mais aussi impuni. Il est en effet très difficile sinon impossible de remonter la filière électronique jusqu'au fraudeur lui-même.
« Ça peut être des gens d'outre-mer, d'Asie, qui ont piraté des sites aux États-Unis et qui s'en servent pour lancer des attaques ici, affirme Alain Mercier, conseiller principal au Centre de recherche informatique de Montréal. Ça peut être aussi complexe que ça. »
Imaginons un fraudeur se trouvant en Russie. Pour brouiller les pistes, il utilise à distance un ordinateur qu'il a piraté, disons aux États-Unis. Avec cet ordinateur, il se connecte à un serveur qui peut se trouver n'importe où dans le monde. C'est de là qu'il envoie ses attaques massives d'hameçonnage au Québec.
Alain Mercier donne ainsi l'exemple d'une adresse qui n'a aucun lien avec celle de Desjardins. Le site, probablement piraté, est en Bolivie. Un fraudeur s'en sert pour aller chercher de l'information au Québec. Les attaques d'hameçonnage vont durer quelques jours, jusqu'à ce qu'on réussisse à faire fermer le site.
À la pêche aux fraudeurs
Tout le monde est visé par l'hameçonnage. Même La facture a été récemment visée par une attaque d'hameçonnage qui utilisait un faux site de la Banque Nationale du Canada! Mais la pêche est-elle bonne pour les hameçonneurs? Les clients des institutions financières et des sites de commerce électronique se font-ils attraper?
« De 2,5 % à 3% des gens qui vont recevoir le pourriel vont cliquer et entrer l'information. Alors, si vous envoyez 100 pourriels, 2-3 personnes vont entrer l'information, affirme Alain Mercier. Ce sont toutefois des millions de pourriels qu'ils vont envoyer, parce ça ne coûte rien. »
Selon un sondage effectué par Visa, 200 000 Canadiens auraient divulgué leurs informations personnelles sur des sites frauduleux.
Comment peut-on arrêter les fraudeurs? En coupant leur fil à pêche. Pour l'instant, la seule chose à faire est en effet de faire fermer les sites frauduleux quand ils apparaissent. C'est ce que fait le Mouvement des caisses Desjardins, qui a engagé une compagnie torontoise se spécialisant dans la lutte contre l'hameçonnage, Brandimensions.
« Nous utilisons ce qu'on appelle un pot de miel, souligne son président-directeur général, Bradley Silver. Nous inscrivons une fausse adresse électronique sur des milliers de forums dans Internet. »
L'adresse de Brandimensions se retrouve ainsi partout dans Internet, et elle sert d'appât pour attirer les fraudeurs.
« Dès que le nom d'un de nos clients est mentionné dans un courriel que nous interceptons, une alerte électronique se déclenche. Notre équipe d'intervention est aussitôt alertée. »
Couper le fil
Voici comment ça se passe. L'ordinateur reconnaît le nom d'une banque cliente de Brandimensions dans un courriel frauduleux. Un membre de l'équipe d'intervention retrace alors le serveur qui héberge le site du fraudeur.
 | Bradley Silver
|
La suite des choses se déroule tout simplement par téléphone. Brandimensions joint le gestionnaire du serveur, où qu'il soit dans le monde. Les bons contacts sont donc d'une importance capitale.
La société ontarienne informe ensuite ce gestionnaire que son serveur héberge un site frauduleux. Le gestionnaire ferme le site, et le fil à pêche est ainsi coupé.
« Le temps nécessaire pour arrêter une attaque par hameçonnage dépend de sa complexité, soutient Bradley Silver. Parfois, nous y arrivons en trois minutes. Toutefois, si l'attaque est plus sophistiquée, nous pouvons lutter pendant cinq ou six heures. Et dans des cas extrêmes, ça peut nous prendre une à deux journées. »
Les victimes remboursées
Avant qu'un site d'hameçonnage soit fermé, plusieurs personnes se sont malheureusement fait prendre au piège. Que font les institutions financières dans ce cas?
« Évidemment, on vous rembourse, affirme Nathalie Genest. Toute perte encourue par ce type de fraude sera remboursée à nos membres, c'est la politique que s'est donnée Desjardins. On s'est dit que le membre n'a pas à payer pour ces désagréments. »
 | Nathalie Genest
|
« Dans la plupart des cas, de toute façon, ce sont des gens honnêtes qui se sont vraiment fait avoir, renchérit Jacques Hébert. Les banques, en se basant sur la connaissance qu'elles ont de ce client, sur sa réputation de crédit et d'honnête homme ou d'honnête femme, vont rembourser entièrement les pertes. »
Pour l'instant, les institutions financières indiquent donc à La facture qu'elles remboursent leurs clients, mais jusqu'où cela va-t-il aller?
« Actuellement, ça leur coûte moins cher de rembourser les clients que de mettre des mesures de sécurité en place, prétend Alain Mercier. Ça pourrait coûter très cher pour avoir une mesure assez efficace et encore là, il va probablement y avoir une manière de la contourner. »
« Ce qui peut arriver, c'est que les gens vont un peu perdre confiance en les transactions en ligne, continue-t-il. On est en train d'étirer l'élastique, mais jusqu'où va-t-on être capable d'équilibrer les choses, ça reste à voir. »
En conclusion
Comment peut-on se protéger contre l'hameçonnage? En se rappelant que jamais une institution financière n'enverra de courriel pour demander des renseignements personnels. Alors, quand on reçoit un courriel disant qu'il est urgent de donner ces informations, il faut le flanquer à la poubelle!
Il ne faut toutefois pas paniquer. Quand on est sur le site d'une institution financière, on peut y aller sans crainte, car ces sites sont sécurisés.
| Hyperliens |
|
|
|
|
|
|
|
|
|
|
