dimanche 28 octobre 2007

Une initiative de prévention décriée dans le New Jersey

Le procureur général de l'état du New Jersey, aux États-Unis, a demandé à quatre grandes banques de lui communiquer les mesures qu'elles prennent pour combattre le vol d'identité, et notamment l'hameçonnage (ou phishing), qui consiste à obtenir frauduleusement des données personnelles (numéros de comptes, codes secrets) à l'aide de courriers électroniques prétendument expédiés par des entreprises légitimes. Cette initiative qui vise à obtenir une plus grande transparence de la part des institutions financières est louable. En effet, on suspecte que les critères de revenu et de profitabilité restent un obstacle de taille se dressant sur le chemin d'une plus grande sécurité de l'identité dans les transactions en ligne.

Cependant, le second volet de cette campagne, qui encourage les banques à communiquer avec leurs clients par courriel afin de les informer qu'elles ont été victimes de ce type de fraude et de les conseiller sur les meilleurs moyens de s'en protéger, est plus douteux. En effet, comme le soulignent les experts consultés par les journalistes du Washington Post, cette initiative pourrait être exploitée par des fraudeurs qui se serviraient de sa médiatisation pour envoyer leurs propres courriels à des victimes potentielles. Dans un tel cas de figure et malgré toute la bonne volonté du monde, le procureur crée les conditions d'une victimisation accrue en conférant une crédibilité additionnelle aux missives des fraudeurs. Une prise de contact plus personnalisée et difficile à contrefaire, comme une lettre sur support papier, une visite en personne à son conseiller bancaire ou un séminaire organisé dans chaque succursale seraient de loin préférables.

vendredi 26 octobre 2007

Le vol d'identité aux USA: une analyse quantitative

Le CIMIP (Center for Identity Management and Information Protection) vient de mener en collaboration avec le Secret Service américain une étude quantitative sur 517 enquêtes criminelles relatives à des affaires de vol d'identité menées entre 2000 et 2006. Cette méthodologie qui vise à codifier le contenu de dossiers d'enquête de manière à produire des connaissances scientifiques est novatrice dans le domaine du vol d'identité, où les sondages auprès des victimes restent le moyen privilégié de compiler des statistiques.

On apprend notamment dans cette étude que dans la moitié des affaires, les données personnelles ont été compromises par des entreprises financières ou des commerces de détail, alors que seulement 16% des victimes ont été abusées par des proches ou des membres de leur famille. Il semble apparent ici que les mesures de prévention souvent préconisées aux usagers ne seront pas en mesure de protéger ceux-ci contre méthodes qui ne les ciblent pas directement pour obtenir les données personnelles.

Par ailleurs, dans un tiers des cas, les voleurs d'identité avaient acquis les informations nécessaires dans le cadre de leur emploi, qu'il s'agisse de commerces de détail, de restaurants, ou encore de casinos. Les entreprises de service et de détail semblent donc encore une fois être en mesure de contribuer de manière significative à la prévention et au contrôle du vol d'identité.

Seulement 34% des victimes recensées étaient des individus. Les autres victimes étaient des institutions financières (37%) et des commerces de détail (21%). Bien entendu, ces statistiques sont influencées par un premier filtrage effectué en amont dans la déclaration de ces crimes à la police, qui fait en sorte que seuls les plus graves sont pris en compte par les organismes d'application de la loi.

Finalement, en ce qui concerne les taux de condamnation, seulement la moitié des accusés a été condamnée à une peine de prison. La moitié des peines étaient inférieures à 24 mois d'incarcération. La moitié des accusés ayant échappé à une peine de prison s'est vue condamnée à des périodes de probation de 2 à 3 ans.

Ces chiffres illustrent de manière relativement probante la responsabilité des entreprises et des commerces de détail dans la lutte contre le vol d'identité. Le sondage mentionné avant-hier dans ce blogue laisse cependant penser que les dirigeants de ces entreprises sont encore loin d'avoir pris toute la mesure des risques qu'ils font indirectement courrir à leurs clients et usagers.

mercredi 24 octobre 2007

Sondage Fusepoint - Léger

Léger Marketing et Fusepoint viennent de rendre public les résultats rassurants d'un sondage sur le vol d'identité:
  • 48% des cadres supérieurs canadiens craignent pour la sécurité des renseignements confidentiels, même si des politiques et des procédures protègent 71% d'entre eux contre les atteintes à la sécurité [ils ont confiance dans leur produit ces cadres là!];
  • 42% d'entre eux n'ont aucune idée de la valeur monétaire qu'une atteinte à la sécurité pourrait avoir pour leur entreprise [un indice: beaucoup d'argent];
  • En dépit des informations répétées présentées dans les médias sur les atteintes à la sécurité, 39 % des cadres supérieurs canadiens interrogés admettent ne rien faire et poursuivre leurs activités comme si de rien n'était [vous avez dit 'pensée magique'?].
Ce blog, qui prend la suite de la Sécurisphère, explorera les formes de crimes associés à l'usage déviant de l'Internet et des nouvelles technologies, et en particulier le vol d'identité, ainsi que leurs conséquences sociales, organisationnelles et légales. Il essaiera de décrypter les informations teintées de motivations mercantiles qui sont fréquemment diffusées par des cabinets de consultants ou des entreprises de sécurité informatique.