En collaboration avec HEC Montréal, nous publions notre chronique hebdomadaire sur les défis auxquels font face les entreprises sur le plan de la gestion.
Un représentant de votre compagnie émettrice de carte de crédit vous téléphone au sujet de problèmes liés à votre compte et souhaite vérifier certains renseignements personnels. Il mentionne votre numéro de carte et vous demande votre code postal, le nom de jeune fille de votre mère et le code de trois chiffres au verso de la carte. Comment réagissez-vous?
Si votre réponse est de fournir ces renseignements, vous vous exposez au risque d'usurpation d'identité. En effet, si votre interlocuteur est un fraudeur, il pourra s'approprier des renseignements qui rendront possibles certaines fraudes, par exemple effectuer des transactions avec votre carte de crédit, grâce au numéro de votre carte, sa date d'expiration et son numéro de validation.
Quel comportement aurait été sécuritaire? On aurait pu signaler à l'interlocuteur l'impossibilité de fournir ces renseignements sans procéder à des vérifications, puis communiquer avec la compagnie émettrice afin de s'assurer que l'appel était bien légitime.
L'usurpation d'identité est un véritable fléau. La gravité des conséquences pour une victime dépend du type de fraude qui aura été rendu possible au moyen des renseignements personnels que le fraudeur aura saisis. Elle peut se traduire par une utilisation de la carte de crédit ou de débit pour des transactions frauduleuses, des transferts de fonds électroniques, l'appropriation de comptes bancaires, l'ouverture de nouveaux comptes, l'obtention d'une hypothèque ou d'autres emprunts et même le clonage de l'identité pour démarrer une nouvelle vie, être reconnu comme citoyen ou commettre des actes criminels.
Dommages financiers et psychologiques
L'usurpation d'identité se fait à l'insu des victimes qui réaliseront ce qui s'est produit quand des créanciers ou des agents de recouvrement les contacteront pour leur demander d'assumer des obligations frauduleusement contractées en leur nom comme rembourser un prêt ou payer des contraventions.
L'utilisation frauduleuse de renseignements personnels entraîne parfois des coûts réels considérables: frais juridiques, journées de travail manquées pour démontrer son innocence ou faire les démarches nécessaires pour rétablir son identité et sa réputation. Pourtant, les experts que nous avons interrogés à ce sujet sont unanimes: les dommages psychologiques sont plus importants encore que les dommages monétaires.
Comment prévenir l'usurpation d'identité? Adopter au quotidien des comportements prudents en matière de divulgation de renseignements personnels: ranger à l'abri des regards, déchiqueter tous les documents qui contiennent des renseignements personnels comme les factures, les états de comptes et les relevés bancaires. S'assurer que les documents électroniques sont bien cryptés, classés ou détruits. Éviter la divulgation de renseignements à des inconnus lors de conversations téléphoniques, lors d'échanges de courriel, sur des sites transactionnels non sécurisés ou sur des sites de réseautage.
Alors que certains sont d'une prudence exemplaire pour protéger leurs renseignements personnels lorsqu'ils sont sur des supports traditionnels - déchiquetage de leurs factures et de leurs états de compte, méfiance face aux demandeurs de renseignements personnels au téléphone - ils oublient la prudence quand ils sont à leur ordinateur.
Par exemple, près du quart des répondants à une enquête que nous avons menée dans un organisme public ont répondu à la question: «Vous recevez un courriel de votre banque contenant un lien électronique permettant de consulter votre compte en y inscrivant votre numéro de carte de débit et votre NIP» qu'ils estimeraient un tel courriel légitime, puisque l'anti-pourriel de leur ordinateur est toujours à jour. Ils cliqueraient donc sur le lien et fourniraient les renseignements demandés.
On sait pourtant que la technique décrite ici est le hameçonnage, qui donne aux fraudeurs la possibilité de vider la totalité des comptes bancaires de leurs victimes. Une institution financière nous révélait qu'elle avait été victime d'une telle fraude et qu'en moins d'une demi-heure, des centaines de milliers de dollars avaient disparu des comptes de leurs clients.
Certains participants à des sites de réseautage s'exposent à de gros risques en affichant quantité de renseignements. Ainsi, certains utilisateurs de Facebook divulguent date de naissance, occupation, adresse, numéros de téléphone, nom des parents, statut matrimonial et activités quotidiennes.
Rien n'est plus facile pour un fraudeur que d'utiliser ces renseignements pour s'approprier l'identité d'un participant, déduire ses mots de passe ou ses réponses aux «questions secrètes» et avec le nom de jeune fille de sa mère, avoir accès à certains dossiers personnels, son compte de téléphone cellulaire et son compte de banque.
Les sites de réseautage et de rencontres se multiplient, comme les outils de télécommunication, ce qui facilite l'accès et la diffusion des renseignements personnels. Devant ces évolutions technologiques, il est de plus en plus risqué d'être insouciant en cette matière.
Joannie Bélanger est consultante en gestion des risques et en droit de l'information chez LandryVergé&associés. Suzanne Rivard est titulaire de la Chaire de gestion stratégique des technologies de l'information à HEC Montréal. https://neumann.hec.ca/chairegestionti/