Vol de données personnelles, une épidémie

Jamais n’avait-on entendu autant parler de vol de données personnelles. Autrefois épisodique, c’est aujourd’hui une réalité sur laquelle les politiciens commencent à se pencher afin de protéger la population. Lorsque cela touche une poignée d’utilisateurs d’un site de rencontres coquines ou d’un service en ligne comme Dropbox, on se sent moins concernés. Lorsque c’est Desjardins qui est touchée, que près de 3 millions de membres voient leurs données personnelles être vendues à des criminels, c’est un Québécois sur trois qui est concerné. Il y a deux semaines un employé des Forces armées canadiennes a subtilisé de l’information sensible, hier c’est Capital One (cartes de crédit Costco et La Baie, entre autres) qui nous a informés d’un vol des données personnelles de plus de 100 millions de personnes, 6 millions de Canadiens. Cela fait peur.

Que pouvions-nous y faire?

Rien malheureusement, à moins de vivre uniquement avec de l’argent comptant sur nous et encore, pour un Québécois sur trois, ils avaient un compte bancaire Desjardins pour encaisser leur chèque… Nous ne pouvions rien faire pour nous prémunir de ces vols puisque comme on s’en rend compte maintenant, les voleurs d’identités n’ont pas intérêt à voler vos données dans votre ordinateur, car ils ont accès à des millions de dossiers qui sont stockés dans les ordinateurs des institutions financières. Est-elle justifiée cette grogne exprimée envers Desjardins par certains membres qui disent qu’ils vont tout fermer? Pas vraiment, car cela aurait pu arriver dans n’importe quelle institution financière, il s’agit dans son cas d’un vol interne. On aurait pu verrouiller adéquatement toutes les entrées informatiques, quand le vol vient d’en dedans…

« Le cas Desjardins » où en sommes-nous?

Le 20 juillet, Desjardins a annoncé que toutes les lettres ont été envoyées aux victimes de vol de données personnelles. Si on considère que l’annonce publique a été faite le 20 juin dernier et que le vol lui, a été effectué en décembre dernier, ça leur a pris sept mois pour identifier les victimes et leur annoncer cela par écrit (il y avait quand même près de 3 millions de lettres à envoyer). La protection numérique à vie contre le vol d’identité et la fraude est maintenant offerte à tous les membres Desjardins (touchés ou non par la récente fuite) et mon petit doigt me dit que les grandes banques vont faire de même prochainement. Pour les membres concernés, un forfait à vie de surveillance du dossier de crédit auprès de Equifax est payé par Desjardins. Personnellement, je crois qu’il y a eu passablement d’improvisation dans ce scandale parce que l’institution financière aurait pu inscrire une alerte à la fraude dans le dossier de crédit de tous ses membres, dès décembre, et mettre en place le service de surveillance du crédit automatiquement, sans l’obligation pour ses membres de s’inscrire. On le SAIT que leurs données personnelles ont été volées, pourquoi les obliger à faire le travail de protection de leur vie financière en s’inscrivant au « service » d’Equifax (dont les données de 100 000 Canadiens ont été volées également en 2017)? On aurait pu également offrir de « geler » les dossiers de crédit des victimes ce qui les obligerait à donner un code d’autorisation pour qu’on ait accès à leur dossier de crédit. C’est un service qu’offre Equifax aux États-Unis, mais pas au Canada.

Desjardins n’est certainement pas au bout de ses peines, car la Commission d’accès à l’information du Québec et le Commissariat à la protection de la vie privée du Canada ont annoncé des enquêtes pour déterminer si l’institution financière a respecté les lois sur la protection des renseignements personnels. On se souviendra que pour un vol de données similaire, British Airways a été mis à l’amende pour près de 300 millions de dollars et que les lois britanniques sont similaires aux nôtres.

Ce que nous faisons et ce qu’a fait PEAK pour la protection des données de nos clients.

Mon cabinet et le Groupe Financier PEAK ont toujours fait de la confidentialité des informations, une priorité. PEAK a investi massivement dans la sécurité informatique et continue à déployer des mesures de sécurité, car les tentatives d’intrusion dans ses systèmes se comptent par milliers, quotidiennement. Entre autres, de nouvelles méthodes de connexions au portail MonPEAKenLigne devraient être mises en place au courant des prochains mois. De notre côté, je peux vous confirmer que les systèmes informatiques de notre bureau sont protégés par un pare-feu physique et un autre pare-feu logiciel. Des logiciels antivirus effectuent des vérifications de nos systèmes quotidiennement, juste avant la sauvegarde de sécurité qui s’effectue dans un ordinateur sécurisé au Québec. Tous les membres de l’équipe doivent entrer un code d’accès à leur ordinateur en arrivant à leur poste de travail, et aucun document nominatif ne traîne sur les bureaux après les heures d’ouverture. Chacun sait que le risque zéro n’existe pas, mais nous avons une obligation de moyens, il faut mettre tout en oeuvre pour minimiser le risque de vol de données. Pour mes collègues, j’ai écrit deux chroniques sur le sujet, si cela vous intéresse, vous pouvez les trouver ici (http://bit.ly/2YDTUI2 et http://bit.ly/2KcA1E0).

Comment les fraudeurs volent-ils une identité?

Au départ, ils envoient des millions de courriels qui annoncent à ceux qui les reçoivent que leur compte bancaire, leur compte Apple, leur compte PayPal a été « bloqué » pour éviter une fraude, c’est quand même ironique qu’ils avancent cette raison, et les invitent à cliquer sur un lien pour « réactiver » le compte. C’est ce qu’on appelle de l’hameçonnage, comme s’ils lançaient des lignes à l’eau en attendant que le poisson morde. Celui-ci est dirigé vers un faux site internet qui ressemble en tous points au vrai site de l’entreprise. La victime est alors invitée à entrer son numéro de carte bancaire et son code d’accès. Quelques minutes plus tard, le pirate qui vient de se faire offrir les informations sur un plateau d’argent a accès au compte et peut commencer ses ravages. Les techniques se sont raffinées au point où ce sont également des messages textes (textos) qui sont envoyés, plus tôt aujourd’hui j’en ai reçu un pour mon Accès-D, je ne suis même pas client de Desjardins ! L’Autorité des marchés financiers s’est sentie obligée la semaine dernière de diffuser un message spécial sur les ondes radio pour informer la population des dangers de répondre à des courriels d’institutions financières qui ne sont que des attrapes. Votre Caisse, votre banque, PEAK, ou toute autre institution financière ne vous invitera jamais par courriel à cliquer sur un lien pour vous identifier. Cela se faisait avant, cela ne se fait plus.

Lorsque l’hameçonnage n’est pas utilisé, le fraudeur achète des informations sur le « dark web ». Cela n’a rien à voir avec Star Wars, c’est le web qui n’est pas destiné au grand public, mais plutôt aux malfrats de ce monde. On a entendu cette semaine : « les données aujourd’hui sont le pétrole d’avant » et il est clair qu’avec un numéro d’assurance sociale, une date de naissance, l’adresse et idéalement un numéro de cellulaire, un fraudeur peut se payer la belle vie. La première chose qu’ils font c’est demander des cartes de crédit, pendant qu’elles sont émises, il simule un déménagement et demande en ligne à Poste Canada de faire suivre le courrier de la victime à une boîte postale située dans une pharmacie et le courrier est relevé par un étudiant qui croit aider une personne qui ne peut se déplacer. Les cartes arrivent et les commandes en ligne commencent. Si votre boîte postale ne se remplit pas comme avant, pas de négligence, il y a peut-être un problème! On rapporte même dans les médias, l’achat frauduleux de voitures de luxe (http://bit.ly/2SZUkqK)! Si les fraudeurs sont moins technologiques, ils peuvent éventrer la boîte postale comme ce fut le cas cette semaine à Saint-Sauveur (http://bit.ly/2SZ1888) pour récupérer leurs nouvelles cartes de crédit. Une autre astuce lorsqu’ils ont le numéro de cellulaire, c’est de demander un transfert du numéro sur leur téléphone cellulaire jetable. Lorsque le transfert se concrétise, ils n’ont qu’à tenter d’entrer dans des sites web et inscrire que vous avez oublié leur (votre) mot de passe. Le site enverra dans la plupart des cas, un code par message texte pour vérifier votre identité, c’est lui qui reçoit le texto, et il peut alors entrer dans votre compte bancaire, votre compte PayPal, et commencer ses achats. Si vous n’avez plus de services sur votre cellulaire, ne négligez pas, la guerre est peut-être commencée et plus tôt on réagit, plus tôt on s’en tire.

En terminant.

Soyez vigilant, si une irrégularité se produit avec votre courrier, vos courriels, votre cellulaire, ne négligez pas votre réponse. C’est comme lorsqu’on perd son portefeuille, il faut sans délai arrêter les cartes, aviser Equifax et TransUnion, etc. Les institutions financières sont toutes en train d’augmenter leurs contrôles internes et externes, les politiciens étudient les façons de protéger les citoyens, mais je ne mets pas beaucoup d’espoir de ce côté, la rapidité d’adaptation des gouvernements est inversement proportionnelle à la créativité des fraudeurs. Rappelons-nous qu’une bonne hygiène informatique est la base de la sécurité de nos informations personnelles. Changez vos mots de passe régulièrement, ne soyez pas le poisson qui répond à un courriel ou un texto, rappelle-vous que Microsoft n’appelle personne pour réparer à distance son ordinateur et on ne gagne jamais de croisière dans des concours pour lesquels nous n’avons pas participé! Limitez les informations personnelles que vous diffusez dans les réseaux sociaux, c’est hallucinant ce que l’on peut, sans beaucoup d’efforts, récolter sur un individu. Ces données vous concernent, protégez-les!

Eric F. Gosselin, Adm.A. Pl.Fin.