Passer au contenu principal
 Séance femme, dans, café, regarder, elle, téléphone, à, inquiétude
Données et technologies

Numéro de téléphone : 4 menaces s’il tombe aux mains de pirates informatiques

Fournir des renseignements personnels en ligne, c’est s’exposer au vol d’identité.

Vous pourriez vous exposer au vol d’identité simplement en révélant votre numéro de téléphone.

Nous transmettons nos renseignements personnels en ligne sans ciller, et sans penser aux risques : dans les comptes, profils et formulaires d’inscription, que ce soit pour un détaillant, un hôpital ou une plateforme de médias sociaux…

« Si une personne connaît votre numéro de téléphone, il ne serait pas surprenant qu’elle sache aussi autre chose à votre sujet », dit Claudiu Popa, conseiller et analyste des risques dans un cabinet canadien de services-conseils en cybersécurité, Informatica, dont il est également chef de la direction.

Dans un monde où notre identité hors ligne et notre identité numérique sont en symbiose, il est prudent de prendre connaissance de quelques fraudes visant le vol d’identité et des moyens pour atténuer les risques.

1) UNE IDENTITÉ FALSIFIÉE… POUR VOLER LA VÔTRE

Vous avez probablement reçu plusieurs appels pour lesquels l’identité affichée de l’interlocuteur était fausse. L’appelant dit représenter la police, l’Agence du revenu du Canada ou les services d’immigration et, brandissant la menace de l’incarcération ou de la déportation, exige de l’argent. Les victimes de cette arnaque au potentiel dévastateur sont nombreuses, préviennent les experts.

« Les personnes qui ne connaissent pas le stratagème sont une cible facile pour les fraudeurs », explique M. Popa.

De fait, selon le Centre antifraude du Canada (CAFC), ces arnaques ont permis aux escrocs de subtiliser plus de 16,7 millions de dollars aux citoyens canadiens depuis 2014. Elles sont si répandues que le Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) a récemment redoublé d’efforts pour les combattre. Il demande aux fournisseurs de services de télécommunication de mettre en œuvre, d’ici septembre, de nouvelles normes, appelées STIR/SHAKEN (Secure Telephone Identity Revisited/Signature-based Handling of Asserted Information Using Tokens), qui permettront au destinataire de voir si l’appel est suspect avant de répondre. Depuis le 19 décembre dernier, le CRTC exige que d’ici là, les fournisseurs de services bloquent les numéros comportant plus de 15 chiffres ou qui ne peuvent pas être composés (comme ceux qui contiennent une suite de lettres ou de zéros), ou offrent à leurs clients des solutions de filtrage d’appels plus évoluées. 

« Une loi permettrait d’imputer la responsabilité aux organisations. Touchées par de nouvelles mesures, les entreprises de télécommunication devront en faire davantage », signale Matt Coveart, expert de la question du vol d’identité auprès d’un fournisseur de services de restauration d’identité, dragonfly id.

POUR ATTÉNUER LES RISQUES

  • Ne répondez pas aux appels provenant de numéros que vous ne connaissez pas.
  • Si vous prenez l’appel, ne répondez à aucune question et raccrochez immédiatement.
  • Ne donnez aucun renseignement personnel (numéro d’assurance sociale, informations bancaires, etc.) sans vous assurer que la demande est légitime.
  • Signalez tous les appels suspects reçus au CAFC.
  • Renseignez-vous sur les solutions proposées par votre fournisseur de services mobiles pour vous aider à mettre fin à ces appels.

2) VOL DE VOTRE NUMÉRO DE TÉLÉPHONE, UNE BOÎTE DE PANDORE

Ces temps-ci, les identités sont compromises par le transfert du numéro de téléphone de la victime au fraudeur. Ce dernier fait associer le numéro de sa cible à sa propre carte SIM et obtient ainsi accès aux applis et aux comptes dans le nuage ainsi qu’aux courriels de la victime.

Il peut ensuite appeler le fournisseur de services mobiles en se faisant passer pour la victime et apporter des modifications au compte ou déclarer que l’appareil initial a été perdu ou volé. Il a aussi le loisir de changer le mot de passe des comptes en cliquant sur l’icône permettant de le réinitialiser en cas d’oubli : le code de vérification sera en effet désormais envoyé à l’escroc.

La victime, quant à elle, n’a plus accès à ses comptes et ne peut faire d’appels, envoyer de messages texte ni utiliser les données de son forfait. Elle est susceptible de se faire extorquer de l’argent en plus de voir ses comptes bancaires vidés et ses cartes de crédit utilisées par d’autres.

« C’est très ciblé. Le cybercriminel trouve une vieille facture de téléphone cellulaire et tente de se servir des renseignements qui y figurent pour faire croire au représentant que l’appareil a été perdu ou volé, précise M. Coveart. Il demande que le numéro soit associé à un autre appareil. Après avoir réussi à obtenir le transfert, il a à sa disposition divers moyens d’usurper l’identité de la victime. »

POUR ATTÉNUER LES RISQUES

  • Protégez vos renseignements personnels. Dans les formulaires en ligne, n’indiquez que les renseignements que vous devez impérativement fournir. L’entreprise a-t-elle vraiment besoin de connaître votre date de naissance, votre sexe ou votre état matrimonial? Ces demandes de renseignements sont-elles légales?
  • Communiquez avec votre fournisseur de services pour connaître les mesures de sécurité additionnelles qu’il offre lorsqu’un téléphone est perdu ou volé ou qu’un escroc/tiers malintentionné y a accès.
  • Si vous êtes victime d’un vol d’identité, signalez-le au CAFC et au service de police local, et communiquez immédiatement avec vos institutions financières et les agences de crédit.

3) HAMEÇONNAGE D’UTILISATEURS VULNÉRABLES

Selon Wandera, cabinet spécialisé en sécurité, 83 % des attaques par hameçonnage en 2019 ont été faites par message texte ou dans une appli. Et une étude récente menée par IBM indique qu’on est trois fois plus vulnérable à ces attaques si on utilise un appareil mobile par opposition à un ordinateur de bureau.

Les pirates le savent et choisissent bien leurs cibles. Comme dans le cas de l’hameçonnage par courriel, ces demandes frauduleuses sont souvent urgentes ou menaçantes, exigent de l’argent ou des renseignements personnels, voire indiquent à l’utilisateur de cliquer sur des liens ou des pièces jointes infectées par des logiciels rançonneurs. Il peut aussi s’agir de demandes plus ordinaires, par exemple de mises à jour à apporter au compte ou de confirmations de mots de passe.

« Les gens ne semblent pas comprendre que s’ils sont touchés par un logiciel rançonneur, c’est que leurs données ont d’abord été volées, explique M. Popa. Elles circulent et s’ajoutent à l’ensemble des renseignements personnels qui seront accessibles pour toujours. »

POUR ATTÉNUER LES RISQUES

  • Ne répondez jamais aux messages suspects reçus par texto ou dans une appli et ne cliquez pas sur les liens ni les pièces jointes (n’ouvrez même pas le message).
  • Signalez les messages suspects à votre fournisseur de services mobiles.
  • Si le message semble être légitime, communiquez avec l’expéditeur présumé (par exemple votre banque) avant de répondre à la demande ou de transmettre quelque renseignement que ce soit pour accuser réception.
  • Modifiez le mot de passe et les données d’ouverture de session associés aux comptes visés.

4) CHASSE AUX IDENTITÉS

En disposant d’un renseignement personnel, les fraudeurs peuvent en chercher d’autres pour reconstituer une identité, constate M. Popa. Avec tout ce que nous révélons en ligne – date de naissance, liens de parenté, état matrimonial, employeur… –, nous leur facilitons la tâche, se désole-t-il.

Le numéro de téléphone permet d’identifier, au terme d’une recherche rapide, le fournisseur. En appelant l’entreprise, l’escroc parvient parfois à obtenir des renseignements sur le détenteur du compte s’il tombe sur les bonnes questions. Un seul renseignement permet de découvrir un compte de médias sociaux. Qui plus est, ajoute M. Popa, les escrocs combinent les données concernant différentes personnes en une seule identité virtuelle utile à leurs fins.

« Numéro de téléphone, photo, adresse, profil sur les médias sociaux... Un seul de ces éléments peut servir à obtenir d’autres renseignements sur la personne », précise-t-il.

« En associant le numéro d’assurance sociale d’une personne à l’adresse résidentielle d’une autre pour créer un individu qui n’existe pas, ils établissent une identité synthétique qui leur donne de nouvelles possibilités de s’enrichir. »

POUR ATTÉNUER LES RISQUES

  • Dans la mesure du possible, créez des identités numériques distinctes pour divers comptes et plateformes : utilisez des pseudonymes ou des surnoms, différentes adresses courriel, de fausses dates de naissance, etc., conseille M. Popa. Consignez le tout pour vos interactions avec le service à la clientèle. « Les gens doivent bien comprendre une chose : leur véritable identité est distincte de leur identité numérique. Il faut séparer ces deux notions en optant le plus possible pour des pseudonymes en ligne », résume-t-il.
  • Utilisez un gestionnaire de mots de passe hors ligne pour vous y retrouver et créez des phrases de passe (plutôt que des mots de passe) distinctes pour chaque service (minimum de 12 caractères, y compris les espaces et les signes de ponctuation), recommande M. Popa. « Choisissez une phrase; c’est bien plus facile à retenir et plus difficile à deviner. »

POUR EN SAVOIR PLUS SUR LE VOL D’IDENTITÉ

Les Canadiens sont très préoccupés par le vol d’identité, selon l’Enquête de CPA Canada sur la fraude, réalisée en 2018. L’organisation leur propose donc son livre primé sur la question, intitulé Votre argent et vous : Comment vous protéger contre la fraude et l’usurpation d’identité. Cette ressource explique comment déceler les arnaques, se protéger contre la fraude et prendre les mesures qui s’imposent en cas de vol d’identité.