Un article publié dans le Los Angeles Times nous explique comment les fraudeurs roumains semblent avoir peaufiné l'art de la fraude sur les sites de ventes aux enchères, dont le plus connu est certainement eBay. Les fraudes impliquent soit la non livraison d'un bien promis, malgré le paiement par la victime, soit la livraison d'un bien qui ne correspond pas aux spécifications annoncées. Une autre variante est la fraude de la "deuxième chance", qui consiste pour les fraudeurs à contacter une personne ayant participé à une enchère sans avoir remporté cette dernière et à lui proposer un produit identique au prix qu'elle était prête à payer -- ou à un montant inférieur pour rendre l'offre encore plus attractive. Les sites d'enchères permettent dans ce dernier cas aux fraudeurs d'identifier des victimes à la recherche d'un produit en leur faisant savoir combien celles-ci sont disposées à dépenser pour obtenir celui-ci.
L'article examine l'organisation et la division du travail au sein des groupes de fraudeurs, qui emploient des étudiants pour contacter à la chaîne leurs futures victimes et des "mules" pour rapatrier l'argent transféré par le biais d'entreprises spécialisées comme Western Union. Ces groupes créent parfois également des entreprises de fournisseurs d'accès à Internet, afin de faciliter leurs opérations. L'article décrit le sentiment d'impunité qui anime les fraudeurs face à des services de police et des systèmes judiciaires de pays de l'ancienne Europe de l'Est mal équipés pour faire face à une criminalité aussi sophistiquée.
L'aspect le plus intéressant est cependant la description de l'implication d'eBay auprès des agences d'application de la loi roumaines, sous la forme de séances de formation offertes aux policiers et aux juges, d'équipements informatiques neufs et d'abonnements à Internet destinés à ces derniers. L'étroite collaboration entre le service des fraudes de l'entreprise et les organisations policières américaines présentes à l'étranger est également mise de l'avant, même si de l'aveu des acteurs impliqués, les spécificités du système judiciaire local rendent les poursuites pénales très lentes. À partir de cette expérience, eBay aurait développé un programme de sensibilisation des autorités étrangères prêt à être déployé au moindre signe qu'une région du monde est en train de développer une expertise de niveau international en matière de fraude.
Il serait intéressant de connaître les détails de ce programme. Mais il est également fascinant de voir quel rôle jouent des entreprises privées dans la gouvernance internationale de la sécurité informatique, essayant de se substituer avec des moyens dont il est difficile d'évaluer l'ampleur à des services de police et à des organisations internationales de coopération policière (Interpol, Europol) qui semblent pour le moins démunis.
jeudi 27 décembre 2007
dimanche 23 décembre 2007
Les sites internet des ambassades de France au service des fraudeurs
Le site français Zataz a révélé il y a quelques jours que le site Internet de l'ambassade de France en Libye avait été infecté par un code malicieux (malware), qui cherche à télécharger sur les ordinateurs des internautes qui le consultent des programmes d'enregistrement clandestin de frappes de clavier. Ces programmes enregistrent les mots de passe des Internautes et les expédient aux pirates qui s'en servent ensuite pour prendre le contrôle de leurs comptes bancaires, d'email gratuit ou Ebay. Zataz a mis à la disposition des internautes la vidéo suivante, qui illustre le fonctionnement du programme:
Hier, il semblait que l'ambassade de France en Israël ait connu le même sort.
Ces récents développements démontrent que la langue ne constitue plus un facteur de protection contre des pirates qui ciblaient jusque là principalement des sites anglophones. Par ailleurs, les administrations qui se dirigent vers un modèle de gouvernement en ligne vont devoir guarantir à leurs usagers des accès parfaitement sécurisés, au risque d'éroder une part importante de leur légitimité.
Hier, il semblait que l'ambassade de France en Israël ait connu le même sort.
Ces récents développements démontrent que la langue ne constitue plus un facteur de protection contre des pirates qui ciblaient jusque là principalement des sites anglophones. Par ailleurs, les administrations qui se dirigent vers un modèle de gouvernement en ligne vont devoir guarantir à leurs usagers des accès parfaitement sécurisés, au risque d'éroder une part importante de leur légitimité.
samedi 22 décembre 2007
Les campagnes de prévention facilitent-elles le travail des fraudeurs?
Une fraude actuellement menée à grande échelle en Ontario exploite la peur du vol d'identité de la population. Les fraudeurs se font ici passer pour des représentants de la Direction de la protection des consommateurs de l'Ontario, et font croire à leurs victimes que celles-ci ont fait l'objet d'un vol d'identité, puis les persuadent de leur communiquer les informations relatives à leurs comptes bancaires sous le prétexte qu'ils vont les aider à transférer leur argent en lieu sûr. L'efficacité de cette méthode (qui n'est pas nouvelle en soi) s'appuie en grande partie sur les campagnes de sensibilisation menées au Canada et aux États-Unis par les divers ordres de gouvernement et par les institutions bancaires, qui mettent en garde les consommateurs contre divers usages frauduleux de leurs renseignements personnels. Le ressort de l'arnaque consiste ici à retourner l'anxiété créée par de telles campagnes au profit des fraudeurs et à convaincre les victimes que ces derniers sont là pour les aider, la confiance ainsi établie permettant de finaliser la fraude.
Cette approche illustre parfaitement la forte composante d'ingénierie sociale mise en oeuvre par les fraudeurs, et les limites des préconisations "statiques" ou techniques faites aux consommateurs, comme par exemple de se procurer une déchiqueteuse de papier. Devant la créativité des fraudeurs, des recommandations trop spécifiques risquent d'être rapidement périmées, et on devrait certainement plutôt s'orienter vers des campagnes qui visent à changer les comportements des consommateurs, dont le sens critique vis-à-vis des diverses institutions leur demandant des renseignements personnels pourrait être avantageusement renforcé.
Cette approche illustre parfaitement la forte composante d'ingénierie sociale mise en oeuvre par les fraudeurs, et les limites des préconisations "statiques" ou techniques faites aux consommateurs, comme par exemple de se procurer une déchiqueteuse de papier. Devant la créativité des fraudeurs, des recommandations trop spécifiques risquent d'être rapidement périmées, et on devrait certainement plutôt s'orienter vers des campagnes qui visent à changer les comportements des consommateurs, dont le sens critique vis-à-vis des diverses institutions leur demandant des renseignements personnels pourrait être avantageusement renforcé.
jeudi 29 novembre 2007
Doit-on criminaliser la négligence?
Le site ComputerWorldUK a fait état il y a quelques jours d'une démarche relativement novatrice de la part du Commissaire de l'information anglais, dont le mandat est de veiller à la protection des données personnelles des citoyens britanniques. Celui-ci a en effet demandé au ministre de la justice d'examiner la possibilité de criminaliser les négligences manifestes des principes de protection des données personnelles, quand celles-ci résultent dans des conséquences importantes pour les victimes. Les employés d'entreprises ou de services publics qui se font voler ou qui perdent des ordinateurs portables contenant des millions de dossiers personnels sans avoir pris des mesures élementaires de protection (comme l'utilisation de logiciels de cryptage) s'exposeraient à des poursuites pénales, si cette proposition donnait lieu à une loi.
On peut imaginer qu'une mesure aussi draconienne aura du mal à s'imposer, mais elle ne fait que rappeler avec quelle nonchalance nos informations personnelles sont traitées par les organisations à qui nous les confions, et que des incitatifs bien plus contraignants que la seule atteinte à la réputation des fautifs seront requis afin de modifier les comportements.
On peut imaginer qu'une mesure aussi draconienne aura du mal à s'imposer, mais elle ne fait que rappeler avec quelle nonchalance nos informations personnelles sont traitées par les organisations à qui nous les confions, et que des incitatifs bien plus contraignants que la seule atteinte à la réputation des fautifs seront requis afin de modifier les comportements.
mercredi 21 novembre 2007
Une série d'articles sur la cybercriminalité
Le San José Mercury News vient de mettre en ligne une série de trois articles sur les vols d'identité commis en ligne (en anglais) qui offre une vision d'ensemble de ce phénomène complexe. L'intérêt de ces articles est qu'ils abordent tour à tour le problème selon la perspective des fraudeurs, des institutions publiques et privées détentrices de nos données personnelles, et de celles chargées de nous protéger de ce type d'incidents.
C'est cette troisième section qui m'a le plus intéressé, notamment car elle illustre parfaitement les difficultés que rencontrent les services de police dans ce domaine. Elle s'applique bien évidemment avant tout au contexte américain, mais elle contient cependant selon moi un certain nombre de constats universels:
C'est cette troisième section qui m'a le plus intéressé, notamment car elle illustre parfaitement les difficultés que rencontrent les services de police dans ce domaine. Elle s'applique bien évidemment avant tout au contexte américain, mais elle contient cependant selon moi un certain nombre de constats universels:
- Tout d'abord, malgré la couverture médiatique de plus en plus importante de ce phénomène, les budgets spécifiquement alloués pour combattre ce type de crimes restent minimes en comparaison des montants dépensés pour la lutte contre le terrorisme par exemple;
- Les responsabilités sont encore trés fragmentées devant ce phénomène relativement nouveau, et cette dispersion des moyens nuit à un leadership efficace;
- Les caractéristiques de cette criminalité (multi-juridictionnelle, à faible impact individuel mais à fort volume, faisant appel à des supports techniques complexes et distribués...) se prêtent mal au modèle traditionnel de l'enquête policière;
- Les compétences très pointues acquises par certains policiers dans ce domaine sont fréquemment dilapidées par les politiques de rotation fréquentes, qui les affectent à d'autres fonctions au moment même où ils deviennent opérationnels;
- De nombreux policiers expérimentés font défection vers le secteur privé, qui leur fournit de meilleurs salaires et la possibilité de se consacrer exclusivement à ce type de crimes;
- Le choix de former des policiers enquêteurs à l'informatique, plutôt que d'embaucher des dîplomés en informatique qui seraient formés aux techniques d'enquête, constitue une contrainte importante à l'accumulation d'expertise au sein des organisations policières.
dimanche 18 novembre 2007
Les réseaux sans fil des commerces de détail mal protégés
Le Washington Post rapporte les résultats d'une étude conduite par une entreprise spécialisée dans la sécurité des réseaux sans fil (Wi-Fi en bon français), AirDefense, dans plusieurs grandes villes américaines et européennes (dont Paris). L'objectif de cette enquête était de tester les niveaux de sécurité des réseaux déployés par les commerces de détail. Ces réseaux sans fils leurs servent notamment à transmettre des informations entre les terminaux de paiement et les réseaux filaires. Pour mesurer la sécurité de ces réseaux, les employés d'AirDefense ont parcouru les rayons de plus de 3000 commerces (appartenant à de grandes chaînes aussi bien qu'indépendants) équipés de sacs à dos contenant un ordinateur portable connecté à une antenne Wi-Fi de 1o centimètres.
Les résultats de cette étude menée volontairement à quelques semaines des fêtes de fin d'année, qui constituent une période d'achats intenses, montrent à quel point cette technologie est potentiellement à l'origine d'importantes vulnérabilités:
Les résultats de cette étude menée volontairement à quelques semaines des fêtes de fin d'année, qui constituent une période d'achats intenses, montrent à quel point cette technologie est potentiellement à l'origine d'importantes vulnérabilités:
- Des 2500 appareils connectés à des réseaux sans fil identifiés, 85% auraient pu être facilement compromis;
- Des 5000 points d'accès à des réseaux filaires, 25% n'étaient pas cryptés, et 25% utilisaient le protocole de cryptage le plus ancien et le plus facile à pénétrer (WEP).
vendredi 16 novembre 2007
Le marché clandestin du vol d'identité
Le site CIO.com a réalisé une enquête trés fouillée sur le marché des identité volées et le modèle de service qui est développé par certains fraudeurs. En effet, ces derniers proposent un abonnement mensuel à leur site, qui permet à toute personne intéressée d'accéder à des ordinateurs infestés par des logiciels malfaisants (malware) et contrôlés par un botnet, le prix étant fixé en fonction de la quantité des ordinateurs compromis et de la qualité des informations disponibles. Ainsi, les ordinateurs infectés depuis plusieurs mois sont moins onéreux que ceux nouvellement mis sur le marché, les propriétaires de ces derniers n'ayant pas encore eu le temps de détecter la fraude dont ils sont les victimes.Cette série de trois articles est accompagnée d'une vidéo de quelques minutes qui nous offre une visite guidée de l'un de ces sites (fermé depuis), et illustre le degré de sophistication technique atteint par certain fraudeurs, qui adoptent des stratégies directement inspirées des meilleurs ouvrages de management.
mercredi 7 novembre 2007
Comment pirater un compte bancaire en ligne
Petite vidéo éducative sur le mode opératoire des pirates qui prennent le contrôle de comptes bancaires... et raison supplémentaire de ne pas ouvrir les pourriels qui encombrent nos boîtes aux lettres électroniques (source Suisse, mais le principe s'applique partout).
via .:d4 n3wS:.
via .:d4 n3wS:.
jeudi 1 novembre 2007
L'explosion de la bulle immobilière US et le vol d'identité
Le Wall Street Journal a publié il y a quelques jours un article faisant état des conséquences directes sur le vol d'identité de l'explosion de la bulle immobilière US et de la crise du crédit 'subprime'. En effet, d'innombrables courtiers qui commercialisaient les prêts à hauts risques se retrouvent en situation de faillite, et ne sont plus capables de garantir l'intégrité des données personnelles de leurs clients, qui en plus d'être expulsés de leur maison pourraient faire face à des fraudes. Les disques durs des entreprises de crédit facile en liquidation regorgent également de fichiers contenant les histoires financières détaillées de leurs clients, ou de ceux qui leurs avaient demandé un prêt.
On le voit encore une fois, en l'absence de cadre régulatoire explicite concernant le stockage des données personnelles, y compris en cas de disparition de l'entreprise qui les détenaient, les chances sont élevées de voir augmenter les risques de vol d'identité au gré des difficultés éprouvées par certains secteurs de l'économie. L'immobilier américain est sur la sellette aujourd'hui, mais l'explosion de la bulle du Web 2.0 qui ne manquera pas de se produire dans quelques mois ou quelques années (combien de sites de réseaux sociaux peut-on encore créer?) devrait également donner lieu à de nombreuses pertes de données privées, qui pourront s'avérer très pratiques pour les voleurs d'identité.
On le voit encore une fois, en l'absence de cadre régulatoire explicite concernant le stockage des données personnelles, y compris en cas de disparition de l'entreprise qui les détenaient, les chances sont élevées de voir augmenter les risques de vol d'identité au gré des difficultés éprouvées par certains secteurs de l'économie. L'immobilier américain est sur la sellette aujourd'hui, mais l'explosion de la bulle du Web 2.0 qui ne manquera pas de se produire dans quelques mois ou quelques années (combien de sites de réseaux sociaux peut-on encore créer?) devrait également donner lieu à de nombreuses pertes de données privées, qui pourront s'avérer très pratiques pour les voleurs d'identité.
dimanche 28 octobre 2007
Une initiative de prévention décriée dans le New Jersey
Le procureur général de l'état du New Jersey, aux États-Unis, a demandé à quatre grandes banques de lui communiquer les mesures qu'elles prennent pour combattre le vol d'identité, et notamment l'hameçonnage (ou phishing), qui consiste à obtenir frauduleusement des données personnelles (numéros de comptes, codes secrets) à l'aide de courriers électroniques prétendument expédiés par des entreprises légitimes. Cette initiative qui vise à obtenir une plus grande transparence de la part des institutions financières est louable. En effet, on suspecte que les critères de revenu et de profitabilité restent un obstacle de taille se dressant sur le chemin d'une plus grande sécurité de l'identité dans les transactions en ligne.
Cependant, le second volet de cette campagne, qui encourage les banques à communiquer avec leurs clients par courriel afin de les informer qu'elles ont été victimes de ce type de fraude et de les conseiller sur les meilleurs moyens de s'en protéger, est plus douteux. En effet, comme le soulignent les experts consultés par les journalistes du Washington Post, cette initiative pourrait être exploitée par des fraudeurs qui se serviraient de sa médiatisation pour envoyer leurs propres courriels à des victimes potentielles. Dans un tel cas de figure et malgré toute la bonne volonté du monde, le procureur crée les conditions d'une victimisation accrue en conférant une crédibilité additionnelle aux missives des fraudeurs. Une prise de contact plus personnalisée et difficile à contrefaire, comme une lettre sur support papier, une visite en personne à son conseiller bancaire ou un séminaire organisé dans chaque succursale seraient de loin préférables.
Cependant, le second volet de cette campagne, qui encourage les banques à communiquer avec leurs clients par courriel afin de les informer qu'elles ont été victimes de ce type de fraude et de les conseiller sur les meilleurs moyens de s'en protéger, est plus douteux. En effet, comme le soulignent les experts consultés par les journalistes du Washington Post, cette initiative pourrait être exploitée par des fraudeurs qui se serviraient de sa médiatisation pour envoyer leurs propres courriels à des victimes potentielles. Dans un tel cas de figure et malgré toute la bonne volonté du monde, le procureur crée les conditions d'une victimisation accrue en conférant une crédibilité additionnelle aux missives des fraudeurs. Une prise de contact plus personnalisée et difficile à contrefaire, comme une lettre sur support papier, une visite en personne à son conseiller bancaire ou un séminaire organisé dans chaque succursale seraient de loin préférables.
vendredi 26 octobre 2007
Le vol d'identité aux USA: une analyse quantitative
Le CIMIP (Center for Identity Management and Information Protection) vient de mener en collaboration avec le Secret Service américain une étude quantitative sur 517 enquêtes criminelles relatives à des affaires de vol d'identité menées entre 2000 et 2006. Cette méthodologie qui vise à codifier le contenu de dossiers d'enquête de manière à produire des connaissances scientifiques est novatrice dans le domaine du vol d'identité, où les sondages auprès des victimes restent le moyen privilégié de compiler des statistiques.
On apprend notamment dans cette étude que dans la moitié des affaires, les données personnelles ont été compromises par des entreprises financières ou des commerces de détail, alors que seulement 16% des victimes ont été abusées par des proches ou des membres de leur famille. Il semble apparent ici que les mesures de prévention souvent préconisées aux usagers ne seront pas en mesure de protéger ceux-ci contre méthodes qui ne les ciblent pas directement pour obtenir les données personnelles.
Par ailleurs, dans un tiers des cas, les voleurs d'identité avaient acquis les informations nécessaires dans le cadre de leur emploi, qu'il s'agisse de commerces de détail, de restaurants, ou encore de casinos. Les entreprises de service et de détail semblent donc encore une fois être en mesure de contribuer de manière significative à la prévention et au contrôle du vol d'identité.
Seulement 34% des victimes recensées étaient des individus. Les autres victimes étaient des institutions financières (37%) et des commerces de détail (21%). Bien entendu, ces statistiques sont influencées par un premier filtrage effectué en amont dans la déclaration de ces crimes à la police, qui fait en sorte que seuls les plus graves sont pris en compte par les organismes d'application de la loi.
Finalement, en ce qui concerne les taux de condamnation, seulement la moitié des accusés a été condamnée à une peine de prison. La moitié des peines étaient inférieures à 24 mois d'incarcération. La moitié des accusés ayant échappé à une peine de prison s'est vue condamnée à des périodes de probation de 2 à 3 ans.
Ces chiffres illustrent de manière relativement probante la responsabilité des entreprises et des commerces de détail dans la lutte contre le vol d'identité. Le sondage mentionné avant-hier dans ce blogue laisse cependant penser que les dirigeants de ces entreprises sont encore loin d'avoir pris toute la mesure des risques qu'ils font indirectement courrir à leurs clients et usagers.
On apprend notamment dans cette étude que dans la moitié des affaires, les données personnelles ont été compromises par des entreprises financières ou des commerces de détail, alors que seulement 16% des victimes ont été abusées par des proches ou des membres de leur famille. Il semble apparent ici que les mesures de prévention souvent préconisées aux usagers ne seront pas en mesure de protéger ceux-ci contre méthodes qui ne les ciblent pas directement pour obtenir les données personnelles.
Par ailleurs, dans un tiers des cas, les voleurs d'identité avaient acquis les informations nécessaires dans le cadre de leur emploi, qu'il s'agisse de commerces de détail, de restaurants, ou encore de casinos. Les entreprises de service et de détail semblent donc encore une fois être en mesure de contribuer de manière significative à la prévention et au contrôle du vol d'identité.
Seulement 34% des victimes recensées étaient des individus. Les autres victimes étaient des institutions financières (37%) et des commerces de détail (21%). Bien entendu, ces statistiques sont influencées par un premier filtrage effectué en amont dans la déclaration de ces crimes à la police, qui fait en sorte que seuls les plus graves sont pris en compte par les organismes d'application de la loi.
Finalement, en ce qui concerne les taux de condamnation, seulement la moitié des accusés a été condamnée à une peine de prison. La moitié des peines étaient inférieures à 24 mois d'incarcération. La moitié des accusés ayant échappé à une peine de prison s'est vue condamnée à des périodes de probation de 2 à 3 ans.
Ces chiffres illustrent de manière relativement probante la responsabilité des entreprises et des commerces de détail dans la lutte contre le vol d'identité. Le sondage mentionné avant-hier dans ce blogue laisse cependant penser que les dirigeants de ces entreprises sont encore loin d'avoir pris toute la mesure des risques qu'ils font indirectement courrir à leurs clients et usagers.
mercredi 24 octobre 2007
Sondage Fusepoint - Léger
Léger Marketing et Fusepoint viennent de rendre public les résultats rassurants d'un sondage sur le vol d'identité:
- 48% des cadres supérieurs canadiens craignent pour la sécurité des renseignements confidentiels, même si des politiques et des procédures protègent 71% d'entre eux contre les atteintes à la sécurité [ils ont confiance dans leur produit ces cadres là!];
- 42% d'entre eux n'ont aucune idée de la valeur monétaire qu'une atteinte à la sécurité pourrait avoir pour leur entreprise [un indice: beaucoup d'argent];
- En dépit des informations répétées présentées dans les médias sur les atteintes à la sécurité, 39 % des cadres supérieurs canadiens interrogés admettent ne rien faire et poursuivre leurs activités comme si de rien n'était [vous avez dit 'pensée magique'?].
Inscription à :
Articles (Atom)